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1 Introduction 


Les documents, exercices et problèmes qui suivent ont été élaborés dans 
le cadre de la liaison Lycées-Universités. Ce sont donc, pour les élèves des 
terminales scientifiques, des questions difficiles qui peuvent servir de thèmes 
de réflexion, ou même de directions de travail pour des projets. Ils peuvent 
être donnés aussi dans l’enseignement supérieur, comme applications directes 
du cours. Au-delà de l’utilisation directe de ces développements dans telle 
ou telle classe, il nous semble que beaucoup de ces applications et les ap- 
proches qui en sont faites font partie de la culture scientifique utile, sinon 
indispensable, aux professeurs de mathématiques, culture sans laquelle les 
cours deviennent ” clairs comme un bouillon dans lequel à trempé un os sans 
moëlle”. Aïnsi une partie des thèmes proposés ne sont pas à proprement par- 
ler dans quelque programme scolaire que se soit, ni même d’ailleurs parfois 
dans les cours universitaires. On y présente des questions scientifiques et on 
y parle peu de techniques de la classe, toutes choses qui pourraient laisser 
penser que ce travail est inintéressant, lors d’une première analyse superfi- 
cielle, alors que le public visé est celui des professeurs de mathématiques des 
collèges et lycées. Mais si on veut bien considérer que le rôle du professeur 
est de dispenser une culture, au-delà des techniques de sa discipline, alors ces 
textes pourront, nous l’espérons, se révéler d’un certaine utilité. 

Nous avons choisi de développer des sujets liés à des questions concrètes. 
Ce faisant notre but est de montrer des interventions des outils mathématiques 
dans la compréhension et la résolution de problèmes posés par les sciences 
expérimentales ou plus généralement par les besoins des techniques. 

Suivant les divers thèmes que nous avons choisis, la forme diffère : cer- 
taines parties sont sous forme d’exposés, d’autres de problèmes ou d'exercices. 

Remerciements : Ce document a été réalisé en ETFX, système de macro- 
instructions au dessus de TEX. Nous remercions Donald Knuth (auteur de 
TEX) et Leslie Lamport (auteur de ETEX) ainsi que les nombreux développeurs 
de paquetages qui ont fourni cet extraordinaire outil d'édition indispensable 
aux mathématiciens. 

Les essais informatiques ont été faits avec le logiciel xcas, en simulation 
Maple. Nous remercions Bernard Parisse auteur du logiciel. 


Première partie 


Principe de moindre action 


2 Présentation 


Nous avons choisi comme premier thème, pour cette suite de documents, 
le principe de moindre action, qui s’applique en optique, en mécanique et qui 
a sur le plan de l’histoire des sciences une importance capitale. Le principe 
de moindre action a été énoncé par Pierre-Louis Moreau de Maupertuis 
(1698-1759) en 1744 dans un article, paru dans les Mémoires de l’Académie 
des Sciences, intitulé ” Accord des différentes lois de la nature qui avaient 
jusqu'ici paru incompatibles”. Ce travail généralisait le principe de trajet de 
temps minimal”, formulé en 1657 par Pierre de Fermat (1601-1665), au sujet 
de la loi de la réfraction. La loi de la réfraction avait été énoncée auparavant 
par Willebrord Snel van Royen (1591-1626), et par René Descartes (1596- 
1650). Cependant, avant le travail de Fermat, cette loi n'apparaissait pas 
comme provenant d’un minimum de temps de parcours. Le mérite du travail 
de Maupertuis, dans la continuité de celui de Fermat, fut de montrer, à 
travers cette idée de minimum, un lien entre les lois de l’optique et celles 
de la mécanique. On rejoint ainsi le calcul des variations de Isaac Newton 
(1642-1727), Leonhard Euler (1703-1783) et plus tard Joseph-Louis Lagrange 
(1736-1813). 

La présentation est faite sous forme d’exercices avec corrigés. 
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Les problèmes qui suivent partent des lois de la réflexion et de la réfraction, 
en montrant bien comment elles s’interprêtent en terme de minimum de 
temps de parcours. Puis on regarde ce qu’il se passe quand l’indice de réfraction 


varie continument. Les problèmes d’optique rejoignent alors des problèmes 
de recherche de trajectoires en mécanique. 


3 Distance d’un point aux points d’une droite 


Cet exercice est un simple petit calcul de distance qui sera utile dans les 
exercices suivants. 


1. Dans un repère orthonormé (O,x,y) on considère un point À de 
coordonnées (x, yo). On étudie la fonction d4 qui à tout x associe la distance 
de À au point M de l’axe (Ox) d’abscisse x. 

a) En utilisant le théorème de Pythagore on étudiera les variations de 
la fonction dA1 et en particulier les extrema et le comportement en + et 
—00. 

b) Soit d € R*. Chercher les valeurs de x pour lesquelles da(x) = 6. 


2. Dans un repère orthonormé (©, x,y) on considère un point À de 
coordonnées (x, Yo) avec yo Z 0. On étudie la fonction d1 qui à tout x associe 
la distance de À au point M de l’axe (Ox) d’abscisse x. 

a) Calculer la dérivée de dA et étudier les variations de cette dérivée. 
b) Étudier les variations de la fonction d4. 
c) Calculer 


lim (da(x) — (x — xo)). 


En conclure l’existence d’une asymptote en + dont on calculera l’équation. 
Quelle est la position de la courbe représentative de d4 par rapport à cette 
asymptote. 

c) Que se passe-t-il en —oo ? 


A Réflexion 


Nous établissons ici la loi de la réflexion en calculant un minimum de 
chemin parcouru. 


3. Dans un repère orthonormé (O, x, y) on considère deux points A 
et B de coordonnées respectives (0,y4) et (xg,yB) avec ya, xp,y8 > 0. Le 
point A sera le point de l’axe (Ox) d’abscisse x. 


On étudie la fonction d18 qui à tout x associe la somme des distances de 
A et de B au point M de l’axe (Ox) d’abscisse x. 
a) Calculer la dérivée de das et montrer que cette dérivée s’annule 
en un point x, et un seul. De plus on montrera que ce point appartient à 
l'intervalle ]0, xg. 
b) Étudier les variations de d4g. 
c) On note 1 le point de l’axe (Ox) d’abscisse x9. Montrer que 


GO ,IA) = -([H,IB). 


5 Réfraction 


C’est au tour maintenant de la loi de la réfraction concernant un rayon 
lumineux qui passe d’un demi-espace ayant un certain indice à l’autre demi- 
espace ayant un autre indice. Rappelons que l’indice d’un milieu est © où c 
est la vitesse de la lumière dans le vide et v la vitesse de la lumière dans le 
milieu considéré. 


4. Dans un repère orthonormé (O, x, y) on considère deux points À et 

B de coordonnées respectives (0,y14) et (xg,yg) avec ya,xg > 0 et y < 0. 
On introduit le point M de l’axe (Ox) d’abscisse x. Un mobile ayant une 
vitesse v, quand il se déplace dans le demi-plan y > 0, et une vitesse v2 dans 
le demi-plan y < 0, va de À en B en passant par M (il décrit les segments 
[AM] et [MB)). 

a) Calculer le temps T18(x) mis par le mobile pour faire ce parcours. 

b) Calculer la dérivée de T18 et montrer que cette dérivée s’annule 
en un point x, et un seul. De plus on montrera que ce point appartient à 
l'intervalle ]0, xg. 

c)Étudier les variations de Tag. 

d) On note ] le point de l’axe (Ox) d’abscisse x9. Montrer que 


1 — — 1 — — 
—sin(OA,1A) = —sin(AO,1B). 
Vi V2 


6 Indice variable 


Dans les exercices précédents on à minimisé le temps de trajet pour aller 
d’un point à un autre. En optique par exemple où l’indice d’un milieu est 


défini comme étant le rapport © où c est la vitesse de la lumière dans le vide 
et v la vitesse de la lumière dans le milieu considéré, la loi de la réfraction 
au passage entre deux milieux d’indices respectifs n1 et n2 s'exprime par 


nisin(i1) = nosin(i2) 


ainsi qu’on l’a vu dans la section 5. 


On peut alors regarder ce qu’il se passe si on fait varier continûment 
l’indice en fonction de l’abscisse du point ou en fonction de l’ordonnée du 
point. Dans ces cas on peut supposer d’après l’étude faite précédemment 
que la trajectoire devra vérifier nsin(i) — Constante avec 0 < à < 7% et 
Constante > 0 . Voici divers exercices basés sur ce principe. 


6.1 Quelques exemples 


5. Soit f une fonction définie sur [0, +! dérivable telle que f(0) = 0 
et f'(0) = tan(io) > 0. On appelle à l’angle entre l’axe Ox et la tangente au 
point d’abscisse x au graphe de f, de telle sorte que tan(i) soit le coefficient 
directeur de cette tangente. 

On suppose que 0 < à < 5 et que n est une fonction croissante et positive 
de x. Montrer que à est une fonction décroissante de x et en particulier que 
i < ip. 

5.A Des exemples avec à petit 

On va supposer que l’angle i, est suffisamment petit pour que lorsque 0 < 
i < à on puisse avoir tan(i) & sin(i). Si bien que la condition nsin(i) = C 
pourra être remplacée par ntan(i) — C' (où C'est une constante). 

a) Cas où n = no(1 + kx), k > 0. Calculer f(x) puis f(x). 
b) Cas où n = no(2 —e 7%), à > 0. Calculer f'(x) puis f(x). 


no(az+1 
GED" el: 


c) Refaire les mêmes calculs avec n = 


5.B Un exemple avec i pas si petit que ça 


On se propose ici de faire une comparaison entre les résultat obtenus par 
la méthode exposée précédente et le calcul exact, dans un cas où celui-ci 
aboutit. 

A cet effet, on notera f, la solution exacte, et f, la solution approchée. 

De plus, on suppose que n(x) = novax + 1, avec no et a strictement positifs. 
Le lecteur pourra facilement contrôler que n est une fonction positive, crois- 
sante, lorsque x décrit R.. 
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a) Calcul exact. 
1. Montrer que f(x) = ——— 


2. En déduire : 


2C [ | C? C? 
se 2 GER ©) 
ano nù no 


b) Calcul approché (même principe qu’au 5.A). 
! Ce C 
1. Montrer que f(x) & =. 


2. En déduire : 2C 
= (Var+ be 1) < 
ano 
c) On pose A(x) = f(x) — f(x). 
1. Montrer que la fonction À est croissante sur R.. 
2. Montrer que À admet une limite réelle, que l’on précisera, en +00. 


fe(x) 
fa(x) 


d) On pose, pour x > 0, q(x) — 
réelle, que l’on précisera, en +oo. 


. Montrer que q admet une limite 


5.C Extensions 


On se propose ici de généraliser un certain nombre de résultats dans le cas 
général. Il s’agit toujours, ici, de faire une étude comparative entre le résultat 
approché obtenu par la méthode exposée au 5.1 et le calcul exact, dans le 
cas général. Les hypothèses sur fi et n restent les mêmes qu’au chapeau du 
paragraphe 5 
Pour effectuer cette comparaison,on notera f. la solution exacte, et f, la 
solution approchée. 

a) Calcul exact. 


1. Montrer que f(x) = - 


2. En déduire que 


4 du 
eo 
J /(n(u)) — (CY 


b) Calcul approché (même principe qu’au 5.1). 
1. Montrer que f/(r) = —<.. 


n(x) 
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2. En déduire : 


c) On pose A(x) = fe(x) — falx). 

1. Calculer la dérivée de A.Montrer que la fonction À est strictement 
croissante sur R,. 

2. En déduire que À admet une limite À, en +oco. Montrer que À est un 
réel strictement positif ou +oo. 


d) On pose, pour x > 0, q(x) — Le. 
1. Calculer la dérivée de g.Montrer que la fonction q est décroissante 
sur R}, strictement décroissante si de plus n est strictement croissante sur 
R.. 


2. En déduire que q admet une limite réelle u comprise entre 1 et 
’ 


a — 
_(< 
1 (%) 
e) Etude au voisinage de zéro : 
Montrer que À tend vers zéro, lorsque x tend vers zéro. 


Montrer que q tend vers Fe lorsque x tend vers zéro. 
1-(< 
LL) 


f) On suppose dans cette question que n(x) — no.e%”, où a est un réel 


strictement positif. 
1. Effectuer les calculs dans ce cas. 
2. Montrer que, pour C = 1 = à et no = V2, la limite y de q en +oo est 


égale à : 
Tr V2 
4 


Montrer que, dans les mêmes conditions, 

T 1 

4 2 

g) Montrer que si n tend vers +, en +00, alors y n’est pas forcément égal 
à 1. 

On pourra s'intéresser au cas étudié à la question f. 

Les fonctions f. et f, sont-elles équivalentes au voisinage de +00 ? 


À — 
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6.2 Profil d’une jetée, ou le problème de la dalle en 
pente 


Le problème de la courbe de descente la plus rapide ou de la montée la 
plus difficile (d’où son utilisation pour le profil d’une jetée) a été posé par 
Galilée. La solution correcte de l’arc de cycloïde passant par les deux points 
qu'on veut joindre a été résolu par Newton, Leibnitz, L'Hospital, John et 
James Bernouilli. La solution de John and James Bernoulli utilise l’idée que 
nous reprenons, d’un temps de parcours de rayon lumineux. La courbe de 
descente la plus rapide est appelée courbe brachistochrone, et c’est donc un 
arc de cycloïde. Il se trouve que cette courbe est aussi tautochrone (montré 
par Huygens), c’est-à-dire que quel que soit la position du point de départ, le 
mobile arrive au point le plus bas de l’arche de cycloïde dans le même temps 
(ce que nous n’étudierons pas ici). 


6. On fixe 2 points À, B et un plan horizontal P (cf. figure). Une 
masse ponctuelle M soumise à la gravitation à l’exception de toute autre 
force, tombe du plan horizontal P. Elle passe en À et en B en suivant un 
profil qu’on cherche à définir de telle sorte que le temps mis par M pour 
aller de À à B soit minimum. On choisit un repère orthogonal d’origine À 
orienté comme indiqué sur la figure. L’angle (Ax,V ) (où V est le vecteur 
vitesse) sera noté t. Au point À cet angle a pour valeur 44. On admettra que 


la trajectoire cherchée peut s’écrire sous la forme cartésienne y = f(x), avec 
f dérivable. 
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Rappelons que la vitesse de M d’abscisse x est 
vu = 4/2g(x — xo). 


Compte tenu de l'introduction du paragraphe 6 on est amené à imposer la 
condition 
nsin(i) = Constante 


où n est proportionnel à l’inverse de la vitesse, c’est-à-dire 


nsin(i) = nasin(i4), 


sin(i) = 4? — Lo snGA): 
(Gi) = v Eu 


a) Calculer x = @(i). 
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b) Etablir que y = f(@{i)). 

c) Calculer f'(x) en fonction de à. En déduire la dérivée de la fonction 
Jo. 
d) En déduire que 


y = Frol 1 2sin”(u) du. 
iA 


sin?(i 4) 


e) Calculer la fonction f o @. 


On a donc obtenu les deux coordonnées x et y du point M en fonction 
du même paramètre 1. 


f) Montrer que les coordonnées x et y du point M vérifient les relations 


{ x — ïo = K(1 — cos(2i)), 
y — Yo = K(2i — sin(2i)). 


g) Construire l’arc (AB) de cette courbe en prenant to = —1, 44 — = 


et TB = 2. 


6.3 chaïînette 


7. Montrer que, lorsqu'on suspend un fil uniformément pesant, de 
longueur !, de masse m = pl, entre deux points À et B situés à la même 
hauteur h, il se dispose en forme de chaïînette. 

On supposera que ! et h sont tels que le fil ne touche pas le sol. 
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7 Solution des exercices 


Exercice 1. 


YOF-.................... 


La fonction dA4 est définie sur R par : da(x) = 4/(x — x0)? + yé. 
a) On remarque tout de suite que : 
1. la fonction d4 est minorée : pour tout x réel, da(x) > |yol. 


2. la courbe de la fonction dA4 présente une symétrie par rapport à la 
droite d’équation x = %o. 


En effet, pour tout h réel, da(xo + h) = da(xo — h). 
3. la fonction dA est strictement croissante sur l'intervalle [x0 , +oo!. 


4. enfin, pour tout x réel, da(x) > |x — xo|. Il en découle : lim DA 
+00. 


On obtient donc le tableau de variation suivant : 
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b) On déduit du tableau précédent que, Ô étant un réel positif donné, 
l’équation d4(x) = 6 : 

- n’a pas de solution si Ô < ol, 

- a une solution (x = xo) si Ô = [ol, 

- a deux solutions distinctes x et 2 si Ô > [Yol, t1 et x2 étant telles que 
T1 — Lo = Lo — L2. 


Exercice 2. 


0 


La fonction d4 est toujours définie sur R par : da(x) = 4/(x — 10)? + yà, 
mais on rajoute la condition yo # 0. 
a) Yo n'étant pas nul, le radicande n’est jamais nul, et donc la fonction 
dA est dérivable sur R; et on obtient, pour tout x réel : 
2(x — &o) : D EG 


|, 
a(&) 24/(x — to)? +yÿ (x — to)? + yà 


La fonction d' est, elle-aussi, dérivable sur R, et on à, pour tout x réel : 


2 
L'—= TL 
Ve - 2 
d'i(x) _ Vo} +w — = _— 
A (x — zo)? + yà ((æ — 0)? + y2)? 


La fonction d', est donc strictement croissante sur R. 


> (. 


D'autre part, pour x £ %o, 
dA(æ) = 


LT — T0 


Yo” 


= fn 
EE to| + (x = 20)? 


iv 


D'où, si5 >-%5,; dit et donc, lim d/(x) = 1. 


æ—+00 
(x — to)? 


Par contre, si x < xo, dA(x ,etona, lim dA(x) — 


; 
a ee T——00 
(x — x)? = zo)? 


On a donc le tableau de variation suivant : 


ee 


b) Des variations de d’, on déduit son signe et donc le tableau de variation 
de d À à 


c) Pour x > xo : 


da(x)—(x—%0) | (x —%0) 


donc da(x) — (x — xo) = 
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On constate que : 


- d’une part [da(x) — (x — x0)] = 0, ce qui prouve que la droite D 


lim 
X—+00 
d’équation y = x — x9 est asymptote oblique en + à la courbe C de d1. 

- d'autre part, pour x > xo, la différence d4(x) — (x — x0) est > 0, ce qui 
montre que, sur l'intervalle [x5 , +, la courbe C est au-dessus de la droite 
D: 


La courbe € étant symétrique par rapport à la droite d’équation x = %o, 
on en déduit que la droite D’, d’équation y = —x + x9 est asymptote 
oblique en —æ à la courbe C de dA et que, sur l'intervalle | — æ, x], la 
courbe C est au-dessus de la droite D’. 


Exercice 3. 


La fonction d 18 est définie sur R par : dag(x) = 4/2? + ya?+4/(x — 8)? + yp?. 


a) yA et yg n'étant pas nuls, les deux radicandes ne sont jamais nuls, et 
donc la fonction d18 est dérivable sur R; et on obtient, pour tout x réel : 


d' (>) x + T—XTB 
DJ = —— 
7 Va +ya Vas) +yr 


On remarque que la fonction d',, est la somme de deux fonctions stricte- 
ment croissantes sur R. En effet, si on calcule les dérivées de ces fonctions, 
on va constater, comme on l’a déjà fait dans l’exercice 2. (question a), que 
ce sont des réels > 0. 
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On en déduit que la fonction d',, est strictement croissante sur R. 
D'autre part, x8 étant > 0, on a d’,3(0) < 0 et d'g(æp) > 0. 


La fonction d',, étant continue, il découle du corollaire du théorème des 
valeurs intermédiaires que, dans l'intervalle [0 ,x3|, l'équation d’,4(x) = 0 
possède une solution unique to. 

De plus, du fait de la monotonie de d'3, si x < 0 alors d'p(x) < dg(0), 
donc d'ig(x) < 0, et si x > xg alors d'k(x) > dg(xæe), donc dg(x) > 0: 
ce qui montre qu’en dehors de l'intervalle [0 ,x#], l'équation d',4(x) = 0 ne 
possède aucune solution. 

En résumé, la fonction d',, s’annule en un point x et un seul, compris 
entre 0 et TB. 


On en déduit le tableau de variation de la fonction d’, : 


b) Des variations de d’,, on déduit son signe et donc le tableau de varia- 
tion de dA48 : 


x To — ZX 
c) On a, par définition de xs : TT —  —) 


V7 + ya? (to — zB)? + yr? 
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—> — 
Désignons par a et 3 des mesures respectives des angles (10 ,1A) et 
——> — 
((H,1B). 
Le cosinus d’un angle orienté de vecteurs étant égal au cosinus de l’angle 
géométrique formé par ces vecteurs, on constate que : 


To 
COQ —= —— et cos — 


V5 + ya? 


La relation qui définit x, se traduit donc par : 


To — TB 


(DB =)? VB? 


COS & = COS f. 


——> — — — — — 
D'autre part, puisque (10 ,1A) = (O,1H)+(1H,1A) [2r) si on désigne 
—— — 


par y une mesure de l’angle (JH ,1A), on a la relation : a =7m+7 [27] qui 
nous donne : sin @ = — sin”. 


OA —_— 
Or sin = —-, et OA = y4 > 0, donc sin > 0 et donc sin a < 0. 


A] 
De même, sin 6 = ——-, et HB = yg > 0, donc sin 6 > 0. 
21 
On en déduit : 
sin à = — sin f. 
D'où, a = —B {2x}, et on obtient finalement l'égalité : 


—> — 


(O,1A)Ÿ=={TH,1B). 
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Remarque : Si on désigne par B’ le symétrique du point B par rapport 
D > 
à l’axe (Ox), une mesure de l'angle (JH ,1B') étant «à, on en déduit que les 
points À, I et B' sont alignés, ce qui nous permet d'obtenir très simplement 
le point B’. 


Exercice 4. 


a) Le temps Tag(x) mis par le mobile pour aller de À en B en passant 
par M est donné par : 


2 2 _ 2 2 
ie \/2? + ya n (x — xp) Ye 


V1 Vo 
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b) yA et yg n'étant pas nuls, les deux radicandes ne sont jamais nuls, et 
donc la fonction d48 est dérivable sur R; et on obtient, pour tout x réel : 


T' (x) x ns T — TB 
QE 
F2) ViV/2? +ya? (A = xp)? + yB°? 


On remarque que la fonction T3 est la somme de deux fonctions stricte- 
ment croissantes sur R. En effet, si on calcule les dérivées de ces fonctions, 
on va constater, comme on l’a déjà fait dans l'exercice 2. (question a), que 
ce sont des réels > 0. 

On en déduit que la fonction T}, est strictement croissante sur R. 


D'autre part, x8 étant > 0, on a T14(0) < 0 et T'ig(xp) > 0. 


La fonction T3 étant continue, il découle du corollaire du théorème des 
valeurs intermédiaires que, dans l'intervalle [0 ,x8|, l'équation T{g(x) = 0 
possède une solution unique %o. 

De plus, du fait de la monotonie de T3, si x < 0 alors T{ñ(x) < Tig(0), 
donc Tig(x) < 0, et si x > xg alors T{k(x) > Tik(xp), donc Tig(x) > 0; 
ce qui montre qu'en dehors de l'intervalle [0 ,xz], l'équation T\4(x) = 0 ne 
possède aucune solution. 

En résumé, la fonction T}, s’annule en un point x, et un seul, compris 
entre 0 et zg. 


On en déduit le tableau de variation de la fonction T3 : 


c) Des variations de T3 on déduit son signe et donc le tableau de varia- 
tion de T'18 : 
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d) On a, par définition de x : 


(AO, IB). 


d 


To 
+ 
Vi V/T$ + YA? 


— 
Désignons par à, et à, des mesures respectives des angles (0A,1A) et 


To — LB 


(to — tp)? + Ye? : 


O x0 


VBihs ie dae pla en debut à 


T 
On à, d’une part, cos(— + i1) = 


10 


He —-: 
LA Var + va? 


sin à — 


To 


V2 + ya? 


TB — X0 


TB — Lo 


D'où, puisque cos(s +1) = —sinü, 
fs. 1H 
D'autre part, cos(—— +12) = —— = ——_——— —— 
2 HB|L. Vs 0) +ys 
N | T . y À 
D'où, puisque cos(— + i2) = sin 4, 
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sin d — 


V/(&8 — %o)? + VE? 


La relation qui définit x se traduit donc par : 


sin?, Sint 


_ = 0, 

V1 Vo 

et on obtient finalement : 
1 — — 1 — — 

—sin(OA,1A) = —sin(4AO,1B). 

V1 V2 

Exercice 5. 

i = 


Préliminaire : Montrons que à est une fonction décroissante de 


Remarquons d’abord que, puisque sin(i(x)) — , avec C > 0etn 


C 
n(x) 
fonction croissante et > 0 de x, la fonction sin(i) est une fonction décroissante 
de x. 


Considérons à présent deux réels x. et x2 tels que 0 < x, < x2 et suppo- 
sons que i(T1) < i(x2). 


Comme i(x1) et i(x2) sont dans l'intervalle ]0 ; ?[, et que la fonction sinus 
est strictement croissante sur cet intervalle, on en déduit que sin(i(x1)) < 
sin(i(x2)), ce qui est en contradiction avec la décroissance de la fonction 
sin(i). Donc i(x1) > i(æ2), et la fonction À est bien une fonction décroissante 
de x. 


Il en découle en particulier que à < to. 
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Expression de f'(x) lorsque i, est petit. 


On suppose que l’angle à, est suffisamment petit pour que, lorsque 0 < à < 
io, on puisse avoir tan(i) & sin(i). Soit M le point de coordonnées (x, f(x)). 
La tangente en M a pour coefficient directeur tani(x), si bien qu’on peut 
écrire : 
f'(a) = tan(é(a)) & sin(i(æ)) = 
x) =taf(r)) Ssnfi(t)) = 
n(x) 
5.A a) Cas où n = no(1+kx), k > 0. 
x > 0 étant fixé, on a pour tout u compris entre 0 et x : 
C io 
PU) = = ——, 
no(l+ku)  1+ku 


C nas : 
puisque — = sin(io) & to. 
no 
Cette fonction étant continue en u on peut intégrer de 0 à x : 
Fa) 10 = à [ 
x) — =} ——— du, 
é o 1+ku 
i.e. puisque f(0) = 0, 
f(@) = ni + ka). 


b) Cas où n = n(2—-e %*), à > 0. 


x > 0 étant fixé, on a comme précédemment, pour tout u compris entre 
0 et x: 


D'où, en intégrant de 0 à x : 
“ob Ne io 
J(æ) i | D ea io | Deli  o n(2e ) 


no(ax + 1) 


c) Cas où n — 
no 
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x > 0 étant fixé, on à comme précédemment, pour tout uw compris entre 


Get x : Clu +1) UD 
He LOU _ do(u + 
FU Ge au +1. 


Or, 


au+l au +1 a au+l 
On peut donc intégrer f'{(u) de 0 à x, ce qui donne finalement : 


u+1 SAGE 1. 1-1 


5.B a)1. On sait que : sin(i(x)) — AO)  etque0<i<%, donc: 
ei 
sin(i(x)) n(a) 


2. Comme n{x) = novar +1,il vient:  f/(x) = 1/nE(ar+1)-C2° 
UT ax nn 


On intègre : 


2 


b)1. On sait que, puisque 0 < i < F, 


L!{a) = tan(i(æ)) # sin(i(æ)) = 


d’où : 


2. On intègre : 


JE Var+1-1). 


PO du = ( 
DT o Vau+l an 
D'où, finalement, puisque f,(0) = 0, 


fa(x) = Le (Var +1- 1). 


an 


c)1. La fonction À est dérivable sur R; comme différence de fonctions 
dérivables sur R;, et 


D'où 


Or, il est clair que 


C2 
(Li E 
no 


donc 


C . C 
lee  ovae D 
nG 


et finalement A’(x) > 0 sur R,, ce qui prouve que la fonction À est croissante 
sur R:. 
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c)2. D’après les résultats précédents : 


2 2 2 
o- 2 ( re -S)- Gen). 
ano \ ns | ns ano 


Donc 
2C C? C? 
Pre | PI D 
Or, si on pose h(x) = ,/ax +1—T — ax +1], alors 
eË 
[on 
h(x) mn : ) 


at+1-S+ ax + 1 
0 


qui tend manifestement vers 0 lorsque x tend vers +oo. 


Finalement, À admet une limite réelle en + et on a : 


lim Afx)=1-4/1-— 


LT— +00 ni 


limite qui est manifestement positive. 


d) 
Seti Vi) 1-S) 
LL HE fYarti-1) + 1 — 1) | 
Donc 
hmgéh= 


5.C Extensions. 
a) Calcul exact. 


1. t((S)) = PP 


Soit, en FD sin(i(x)) par eo 
DO 
- È n2(x) 
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2. 
Il suffit alors d'intégrer, et d'utiliser l'hypothèse que f, s’annule en zéro : 
fe est donc la primitive de f/ qui s’annule en zéro, soit, effectivement : 


à du 
Je(x) = CT ———— 
J y/(n(u))" — C? 
b) Calcul approché. 


1. En utilisant l’approximation :tan(i(x)) & sin(i(x)) , on obtient : 
POPETOIEES 
On a donc bien : f/(x) = 0 

2. De même qu’en a) 2., en intégrant et en tenant compte de l’annu- 
lation de f, en zéro, f, est la primitive de f/ qui s’annule en zéro, soit : 


Fate) = C | Er 


c) A(x) Fe Je(x) = fa). 
1. Calculons la dérivée de A : 
A'(x) = f(x) — f(x). 
Remplaçons alors f/(x) et f/(x) par leur expression vue ci-dessus : 
ca 


On obtient 4 A'(x) — ae =, "TO 


Or, 0 <A/n2(x) = C7 <n(r). 
D'où, en passant aux inverses et en tenant compte du fait que la constante 


C'est strictement positive : A'(x) — au — O) 10: 


A’ étant alors strictement positive sur R,, la fonction A est strictement 
croissante sur R;. 
Et comme À s’annule en zéro, À est strictement positive sur R*. 

2. Si l’on définit l’ensemble À des valeurs de À sur R,, d’après la propriété 
de la borne supérieure dans R , si À est une partie non vide (c’est le cas) et 
majorée de R alors elle admet une borne supérieure finie,que l’on notera À. 
Tandis que l’on posera À = + dans le cas où À n’est pas majorée. Il suffit 
alors d'appliquer le théorème de la limite monotone , ce qui permet d’obtenir 
que À admet la limite À, en +. De plus, À est un réel strictement positif 
(car À est strictement croissante sur R} et vaut zéro en zéro), dans le cas où 
A = A(R;) est majorée, et À = +00, sinon. 
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d) Pour x > 0, q(x) = —— 
1. Calculons la dérivée de q : 


fe(x)-fa(x) — f(x). f(x) 


! 
a (x) = 
ja(æ) 
Remplaçons : 
c? fa -sf du 
ne /n2(x)-C?2 . n(u) n(x) TOEGE 


fa (x) 


La dérivée g'(x) est du signe du numérateur N(x) : 


N(x) 


ne 
Ver) — C? Jo nu) n(x) Jo Vert) - (CP 
Soit, encore : 


C? 1 


. 1 du 
os — | rt 
0 —_ C _s C 
re eo 
Or, la fonction n est positive et croissante sur R,, donc, pour tout réel x, 
lorsque u est compris entre zéro et x, 


| mx) 7 n?(u) 


est négatif. (strictement si u est strictement entre zéro et x, et si n est stric- 
tement croissante sur R..) 
En effet, la fonction qui à u associe 


—— a le sens de variations inverse 


EC) 
de celui de n, par composée de plusieurs fonctions dont trois strictement 
décroissantes, et les autres strictement croissantes. 
Finalement, on a : 


CG 4 Î 1 du 
= _—; ———…— — ——— |——<0 
n(x) Jo ee -S Te n(u) 
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Soit, q'(x) est négatif, et la fonction q est décroissante sur À, (strictement 
si l’on rajoute l'hypothèse de croissance stricte de n sur R;). 

2. Une nouvelle application du théorème de la limite monotone, à la 
fonction q cette fois-ci, permet d’obtenir l’existence de la limite 4 de q en 
+00. 

Cette limite, d’après le théorème, est la borne inférieure de l’ensemble des 
valeurs de q sur R;. 

Or, la décroissance de q et la stricte positivité des fonctions f. et f, (stric- 
tement croissantes à partir de la valeur zéro prise en x = 0), ajouté au fait 
que, d’après la question c), A étant strictement positive sur IR, d’après la 
queston c)1., la fonction q est supérieure ou égale à 1 sur R° ; 

Finalement : qg(R+) est inclus dans l'intervalle ? = [1,7], où 7 désigne la 
limite de q en 0* 


dans l'intervalle 1 = [1, —=—. 
i-(&) 
En conclusion : q admet en + une limite finie y comprise entre 1 et 
1 


(Se) 

e) Etude au voisinage de zéro : À tend vers zéro, lorsque x tend vers zéro. 
C’est évident, car les deux fonctions f, et f, tendent alors vers zéro. 
Cherchons maintenant la limite de q en 0* : 

q se présente sous ” forme indéterminée”, numérateur et dénominateur tendent 
vers zéro. Appliquons la règle de 1” hôpital” : 
regardons le quotient 


J(&) : n2(x)—C? : 1 
fiCe) HO) Fe 
1 (5 


Lorsque x tend vers 0*, ce quotient tend effectivement vers Fe 
1—-(< 
no 


Conclusion : on a bien prouvé que, lorsque x tend vers zéro, q tend vers 
1 


-(S) 
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f) On suppose dans cette question que n(x) = no.e%, où a est un réel 
strictement positif. Calculons les intégrales : 


* du Cf” du 
Lo =c) TE -El 


C — TX 
Po 
an 
La limite À de f,(x) lorsque x tend vers +oo est donc : À = € 


ano 


: V/ng.e20z — C2 V/ng.e20z — C2 — C2 ’ né — C2 
arctan Frachenn arctan TL 


La limite Æ de f.(x) lorsque x tend vers +oo est donc : 


es 


à : 
arctan € 
nè —c2 


A cet effet On rappelle que, pour tout réel y strictement positif, on a : 


r/2-arctan 


Fee 


Enfin, = 


Lis 


2 
Pour C = à = 1, et no = V2 on obtient : 


arctan(y) + arctan (2) = 


Par 


La limite de delta, elle, vaut : 


E — À = arctan  __ Le 
nà — C? no 
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Pour C = à = 1, et no = V2, on obtient : 


g). On suppose ici que n tend vers +oo, en +oo, Voyons alors si u = 1 : 
Les fonctions f. et f, ont respectivement pour limite en + les intégrales 
généralisées,convergentes ou divergentes vers +0 : 


Les deux fonctions à intégrer étant positives et équivalentes à = lorsque u 


tend vers +oo, les deux intégrales généralisées Æ et À sont de même nature. 
En particulier, si , comme au f), n(u) = no.e*, pour un réel à strictement 
supérieur à 1, alors les deux intégrales convergent vers des réels strictement 
positifs, À et E et u — . 
D’après les calculs menés à la question f), il n’est pas obligatoire que 4 = 1 
puique l’on a trouvé dans le cas éudié en f), 
= ve, différent de 1. Par contre, on avait trouvé u = 1 au 5.2 d). 

Les fonctions f, et f, ne sont pas nécessairement équivalentes au voisinage 
de +oo, notamment si u est différent de 1, ce qui est le cas dans la question 
f). 


Exercice 6. 
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a) D’après la formule donnée : 


on obtient : G 
sin (à 
Vz —%o = V|rol: — V? 
sin(i1) 
d’où 
sin”(à) 


z = To + [To - 


—— = pi). 
sin”({4) a 
Remarque : on a 0 <i4 < r/2 d’après le chapeau” d'introduction. 


b) d’après a), y = f(x) = f(9(i)). 


c) La fonction f est supposée dérivable et sa dérivée est donnée par 
f(x) = tan(i(x)), 


puisque i(x) est l’angle formé par l’axe Ax et le vecteur vitesse au point M 
de la trajectoire. 


La fonction @ étant clairement dérivable et f étant supposée dérivable, la 
composée f o o est dérivable et 


(fo 6) (5) = F(p()) - di) = F'(x) - (6). 
d'à) = 20 — cos(i) 


donc, en notant à pour i(x), 


(fo d){i) = tan(i) - 2rol RO 2 2e sn) 


TR fol sin?(i4) 
d) On à donc 
3 2]xo| ; 
‘U= in? (4). 
y ) sin”(14) ( ) 
On intègre y’ de i4 à 1 : 
Ye fol | 2 sin°(u) du. 
sin”(ia) Ji 


Or ya = 0 (car À est l’origine du repère), donc on obtient : 


= fol Î 2sin( du 


sin?(i4) ia 


e) Sachant que 
2 sin?(u) — 1 — cos(2u), 
on en déduit 
(vol 


— .  . 


sin?(i 4) ia 
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D'où 


= sé u — —sin(2u) - fol i— =sin(2i) | + Yo, 
sin” (14) ia Sin(i4) 
en posant 
_ |Tol se 
Yo = —— 5 ia — =sin(2i4)|, 
sin‘(i4) 
puis 
Lol , . . 
= ——;— |2i — sin(2i)| + Yo. 
2 sin”(i4) | ( )] Vo 


f) Les coordonnées du point M vérifient donc les relations : 


de CP 


2 sin°(i4) 


D'où, si on pose 


on obtient 


{ z = x0 + K(2sin*(i)) 
y = Yo + K (2i — sin(2i)), 


et donc, puisque 2sin?(i) = 1 — cos(2i), 


{ x — %0 = K(1 — cos(2i)) 
y — Yo = K (2i — sin(2i)). 


g) À présent, tracons l'arc (AB) de cette courbe pour les valeurs in- 
diquées. 
Remarquons que se donner le point B revient à se donner la valeur de l’angle 
iA. En effet, si on se fixe x, alors y est une fonction continue et strictement 


croissante de 1. 


T 21e 
Avec 0 = —1 et ia =, on trouve K = 2 et yo = V3 — —-. 


(On peut noter que yo = K[sin(2i4) — 2i4].) 
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. , T 
Puis, avec xB = 2, on trouve ip = à 


Ce qui nous donne le système suivant : 


x = 2(1 — cos(2i)) — 1 + 
2 eee 
y = 2 (2i— sin(2i)) + V3 - © elg;3] 
D'où finalement l’arc (AB) : 
To 
: 
A y 


Exercice 7. 


On applique le principe de moindre action : le fil se positionne de manière 
à minimiser le potentiel U. 
Calculons l’élément de potentiel dU correspondant à une longueur élémentaire 
de fil situé entre l’abscisse x et l’abscisse x + dx, de masse élémentaire dm, 
et à la hauteur y : 


dU = ydm, 


où y est une fonction de x à déterminer. 
Or, la longeur élémentaire correspondante du fil est : 
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dd = V1 wo). 


On en déduit : 


U(x)=p | JO VTE D }at. 


On peut assimiler ce problème à la recherche du temps de parcours minimum 
évoqué au paragraphe 2., en remplaçant l’inverse de la vitesse . par p.y, 
puisque le temps de parcours est le quotient de la distance parcourue avec la 
vitesse. 

On a donc, 


Ici, les rôles de x et de y sont échangés par rapport aux notations du para- 
graphe 2.4.1, exercice 5.2. 


On obtient : 


Soit, encore : 


LA dt 
vo VPE —1 
On intègre : 
L__ à pour primitive : Argch (pt), d’où : 


/ p2t2—1 


1 1 
=) ro (py) — CL (PYo) : 


Ajustons les constantes : 
Pour x = a , on à y = h, ce qui donne : 


p.a = Argch(ph) — Argch(pyo). 
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D'où finalement : : 


où la constante b est égale à : 
b = Argch(pyo) = —pa + Argch(ph). 


On obtient bien une chaïînette. 


Dans le cas particulier où yo = p = 1, alors b — 0 et À — ch(a), et 
l’équation de la courbe devient : 
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Deuxième partie 

Un peu d’arithmétique 
algorithmique liée à la 
cryptographie 


8 Introduction 


Nous donnons ici des thèmes de projet de travaux pratiques de crypto- 
graphie. Bien sûr il ne s’agit pas là de la description du travail à faire, donnée 
aux étudiants. Il s’agit de l’étude de faisabilité du projet, ainsi que du relevé 
rapide des outils théoriques et des algorithmes permettant de comprendre 
le sujet et de le traiter. Il s’agit aussi de prévoir une démarche, qui va des 
réflexions théoriques jusqu'aux applications concrètes en passant par la mise 
en place d’algorithmes, leur programmation et les réflexions sur les résultats 
obtenus. Cette démarche est, nous semble-t-il, apte à éclairer le contexte des 
outils introduits, et à motiver les débutants dans l’apprentissage du sujet. La 
programmation et les tests sont faits avec le logiciel xcas [2]. Nous attirons 
l’attention des enseignants sur le grand intérêt de l’utilisation de ce logiciel 
dans les classes de divers niveaux. 


9 L’algorithme de Hôrner 


9.1 Présentation 


L’algorithme de Hôrner est très connu et très simple. Nous en redon- 
nons ici une version plus orientée informatique”. Nous proposons d’autres 
algorithmes qui l’utilisent d’une manière plus ou moins cachée. 


9.2 L’algorithme de Hôrner binaire 


Soit a7açasayazsab)a;ag où les a; valent 0 ou 1, l'écriture binaire d’un 
nombre S. Ainsi : 


F1G. 1 — La transformation de Hôrner binaire 


L’algorithme de Hôrner peut être vu comme l’entrée en mémoire d’un tel 
nombre conformément à la figure 1. On utilise les deux opérations : 
(1) on décale les bits déjà entrés d’une position vers la gauche, 
(2) on insère le bit suivant à la position la plus à droite, laissée libre par 
le décalage. 
Notons $; le nombre déjà entré, qui s'écrit en binaire azaç : - - a7_;. Alors 
le nombre $;:1 obtenu à partir de S; par transformation de Hôrner s'écrit : 


Sir = 28; + dr; 4. 


Dans cette formule la multiplication par 2 correspond au décalage à 
gauche des bits déjà entrés, et l’addition de az_;_, correspond à l'insertion 
du bit suivant à la place laissée libre. Si on décrit la suite des opérations on 
calcule successivement : 


So = a7, S1 = 250 + 6, -- , 97 = 286 + @o, 
ou encore : 


S = S7 = 2(2(2(2(2(2(2a7 a) &s) Ga) a3) 2) a) + Go. 


L’algorithme est décrit à la figure 2. 
Cet algorithme effectue N tours de boucle, chaque boucle coûtant une 
multiplication par 2 et une addition. 


42 


entrées : un tableau À de N bits 
sortie : le nombre S = 5 5" Ali]2' 


début 
Se 0; 
ic N —]1; 
tant que à > 0 faire 
Se 2xS + Ali] : 
ii l; 
fintq 
retourner S ; 
fin 


F1G. 2 - L’algorithme de Hôrner binaire 


9.3 Généralisation 


Cet algorithme s’adapte immédiatement à toute écriture polynomiale de 
la forme : 


S(X) —= ie D EE +... ai X &o: 
Il suffit en effet d’effectuer la suite d'opérations suivantes : 


So(X) — GN-1; 
Si(X) — X So(X) + an, 


Sx_1(X) — XSN\_o(X) + @o. 


L’algorithme de Hôrner intervient dans de nombreuses situations : 
1. évaluation d’un polynôme en un point, 
2. traduction binaire - décimal, 
3. division euclidienne, 
4. calcul d’une puissance. 


En fait cette liste n’est pas limitative. En effet, dans de nombreuses situa- 
tions une partie de l’algorithme consiste à reconstituer un nombre à partir 
de ses bits. Dans cette situation l’algorithme de Hôrner s’applique. 
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9.4 Exemples 
9.4.1 Un exemple direct 


Nous nous proposons d'évaluer un polynôme t en un point x. Cette fonc- 
tion existe dans les systèmes de calcul, néammoins à titre d'exemple nous la 
reprogrammons dans le style Maple (logiciel utilisé : xcas). 


evaluation:=proc(t,x) 
local n,i,s; 


n:=length(t); 


i:=n; 
S:=0; 
while (i>=1) 
do 
s:=x*xs+t{[il; 
i:=i-l; 
od; 
RETURN (s) ; 
end; 


9.4.2 La division euclidienne 
La division euclidienne d’un entier a par un entier b £ 0 consiste à trouver 
l’unique couple d’entiers (q,r) où q est le quotient et r le reste vérifiant : 
a =bq+r, 
avec : 
O0 <7r < b. 


On suppose dans la suite que a > 0 et b > 0. Il est facile de voir qu’on 
peut toujours se ramener à ce cas. 

L’algorithme le plus simple consiste à soustraire autant de fois b de a qu’il 
est possible, jusqu’à obtenir un reste < b. Voici l’algorithme correspondant : 


division:=proc(a,b) 
local r,q,u; 


A4 


while (r>=b) 


r:=r-b; 
q:=q+1; 
od; 
u:=[q,r]; 
RETURN (u) ; 
end; 


Hélas, on se rend vite compte que cet algorithme n’aboutit pas lorsque 
a est trop grand devant b, ce qui arrive très souvent dans les applications 
concrètes qui utilisent de grands nombres. Prendre par exemple un nombre 
a de 1024 bits (donc de l’ordre de 217%) et un b ayant 128 bits. Quel est, à 
la louche, le nombre de soustractions à faire ? 

Remarque : On remarque que 21° — 1024 c’est-à-dire à peu près 10%. 
Donc 10 digits binaires donnent environ 3 chiffres décimaux. Un nombre de 
1024 bits s'écrit avec environ 310 chiffres décimaux. 

Nous présentons un algorithme beaucoup plus performant, basé sur l’écriture 
binaire des nombres, qui consiste à rechercher les digits successifs du quotient 
par dichotomie, et à reconstruire ce quotient par l’algorithme de Hôrner. 


divisionbin:=proc(a,b); 
local r,q,aux,n,u; 


r:=a; 
g:=0; 
n:=0; 
aux : =b; 
while (aux <=a) 
do 
aux :=2*aux; 
n:=n+i; 
od; 
while (n >0) 
do 


aux:=aux/2; 
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n:=n-1; 
if (r <aux) 


then 
q:=2*q; 
else 
gq:=2*q+1; 
r:=r-aux; 
1; 
od; 
u:=[q,r]; 
RETURN (u) ; 


end; 


Commentaires sur l’algorithme : dans la première boucle on détermine 
un entier n tel que 2"-1b < a < 2"b. Dans la mémoire aux on met 2"b. On 
sait donc que le quotient euclidien de a par b vérifie : 


gn-1 < 5 <2. 


En conséquence ce quotient a n digits. Dans la deuxième boucle on lance une 
dichotomie (aux := aux/2) afin de déterminer ces n digits en commençant 
par ceux de poids fort (à chaque tour le digit trouvé est 0 si r < aux et 
1 sinon). On reconstitue alors parallèlement par l’algorithme de Hôrner le 
quotient q (si le digit trouvé est 0 on décale q en faisant q := 2 *x q, si c’est 1 
on prend q := 2 x q + 1). On voit que quel que soit b, le nombre de tours de 
chacune des deux boucles est majoré par le nombre de bits de a (c’est-à-dire 
la taille de a). Chaque tour de boucle n'implique que des opérations très 
élémentaires et peu coûteuses. 
Preuve de l’algorithme : Montrons que les conditions 


A—=QUTKG+T 
0 <r < aux 


sont un invariant de boucle. Ces conditions sont bien réalisées à l’état initial. 

Nous noterons aux’, q',r” les valeurs en sortie de aux, q,r. Si en entrée de 
boucle les conditions précédentes sont remplies alors : 

e ler cas : r < aux’. Dans ce cas r” = r, aux est divisé par 2 tandis que 

q est multiplié par 2. On a donc bien les conditions indiquées en sortie. 
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e 2° cas : Sir > aux’ alors on sait que 
aux <Tr < aux = 2 * aux’. 


On a aussi aux’ = aux/2, q —=2*xq+1,7r"=7r — aux’. On à donc bien 
les conditions requises. 
De plus n décroît strictement. Quand n = 0 alors aux contient b, q contient 
le quotient et r contient le reste. 


9.4.3 Le calcul d’une puissance 


Il s’agit de calculer dans un groupe a” (ou na si on note l’opération addi- 
tivement). Notons nynz_1::-n1n0 la décomposition binaire de l’exposant n. 
Alors en suivant l’algorithme de Hôrner pour calculer n on voit que lorsqu'on 
multiplie par 2 la valeur courante de l’exposant on élève au carré la valeur 
courante de la puissance, et quand on ajoute 1 à la valeur courante de l’ex- 
posant on multiplie la valeur courante de la puissance par a. L’algorithme, 
qui suit exactement l’algorithme de Hôrner de reconstitution de l’exposant 
est donc le suivant (voir figure 3) : 
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entrées : un tableau N de X + 1 bits représentant n en binaire 
sortie : le nombre P = a” 


début 
P+ 1]; 
is K; 
tant que à > 0 faire 
P + P?; 


SN == 
alors P = Pxa; 
finsi 
ii]; 
fintq 
retourner P; 
fin 


F1G. 3 - L’algorithme d’élévation à une puissance 


Cet algorithme est adapté à une représentation binaire de l’exposant. 
Ceci va de soi pour une implémentation ”’hardware” ainsi que pour une 
implémentation dans un langage où on a facilement accès aux bits des données. 
Si, en revanche, on utilise un langage pour lequel l’accès aux bits des données 
n’est pas prévu, il convient alors, de recalculer les bits en fonction de la va- 
leur globale de l’exposant n. Dans ce cas il vaut mieux utiliser l’algorithme 
suivant (voir figure 4), qui calcule les bits successifs à partir de ceux de poids 
faible et qui calcule simultanément la valeur de la puissance : 
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entrées : un nombre a et un nombre n 
sortie : le nombre R — a" 


début 
A+ a; 
Ne n; 
R+ 1; 
tant que N > 0 faire 
si N est pair 
alors 
ALL A: 
N + N/2; 
sinon 
R—Rx+xAÀA; 
Ne N—1I: 
finsi 
fintq 
retourner R; 
fin 


FIG. 4 — Autre algorithme d’élévation à une puissance 


10 l’Echange de clé de Diffie-Hellman 


10.1 Présentation du problème 


Nous présentons ici le principe de l’échange de clé de Diffie-Hellman. 
L’échange de clés s’insère dans un protocole complexe. Il s’agit en général 
d'établir un canal de communication sûr. Pour cela un utilise le plus sou- 
vent, un circuit de chiffrement à clé secrète, beaucoup plus rapide pour chif- 
frer un flux de données. L’échange de la clé secrète se fait, soit avec un 
chiffrement à clé publique comme par exemple RSA, soit par un échange 
de type Diffie-Hellman (basé sur la résistance du problème du logarithme 
discret et ses variantes : problème de Diffie-Hellman, problème décisionnel 
de Diffie-Hellman). Cette dernière méthode présente l’avantage d’assurer la 
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sécurité rétroactive, c’est-à-dire qu’en cas de divulgation d’un élément secret 
ou privé du système, seul l’échange en cours est affecté, mais pas les échanges 
précédents. Autrement dit un ennemi qui aurait enregistré pendant une cer- 
taine période les chiffrés échangés, ne peut pas remonter dans le temps. En 
revanche elle est très vulnérable à l’attaque de l’homme au milieu. Couplée 
avec un procédé d’authentification mutuelle des deux parties, elle est très 
efficace (cf. [1] p. 191). 


Le principe est le suivant : On dispose d’un grand nombre premier p et 
d’un élément primitif a du corps Z/pZ (générateur du groupe multiplicatif 
(Z/pZ)*). Chacun des deux interlocuteurs À et B choisit un entier inferieur 
à l’ordre du groupe. Nous noterons n et m ces deux entiers choisis repecti- 
vement par À et par B. À transmet à B le nombre a” mod p, tandis que B 
transmet à À le nombre a” mod p. Chacun des deux interlocuteurs est alors 
en mesure de calculer L = a” mod p. En général, ce nombre L est, d’une 
part, trop long pour servir de clé pour un système à clé secrète, d’autre part, 
certains bits sont faciles à calculer. Si bien qu’on le hache pour obtenir la 
clé commune KÀ = h(L) (bien entendu cette clé K est reconstruite à chaque 
nouvelle session avec des nouveaux paramètres n et m) (cf. [1] p. 81). 


10.2 Mise en place du système 


Nous allons simuler un tel système en utilisant un logiciel de calcul. Le 
logiciel utilisé est xcas [2]. 

La mise en place du système passe par la construction d’un grand nombre 
premier p et la détermination d’un élément primitif a. Rappelons (cf. [1]) 
que pour tester si un élément a est primitif de manière efficace, on ne dispose 
guère que de l’algorithme qui suit : Supposons que : 


k 
p-1=]["* 
i=1 


soit la décomposition de p — 1 en facteurs premiers. Alors pour que a soit 
primitif il faut et il suffit que les £ nombres 


p—1 


a % 


mod p 


soient tous différents de 1. Pour réaliser ce test il faut disposer de la fac- 
torisation de p — 1, ce qui n’est pas le cas si on prend p au hasard. On 
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va donc commencer par construire un grand nombre premier q, puis cher- 
cher un nombre premier p de la forme 2kq + 1 (n'oublions pas que p sera 
nécessairement impair), de telle sorte que k soit suffisamment petit pour 
pouvoir être factorisé. On peut se demander si lorsque q est déterminé, on 
va pouvoir facilement trouver un p qui convienne. Le théorème de Dirichlet 
sur la densité des nombres premiers d’une progression arithmétique répond 
à cette question (cf. [1] p. 366). On doit trouver un tel p en temps moyen de 
l’ordre In(p), c’est-à-dire de la taille prévue pour p. 


10.3 Programmation des fonctions utiles 


HRHÉHHÉHHHHHHHHHHH 
## alea(x) 
HRHÉHHÉHHHHHHHHHHHH 


##H#H# entree : nombre de bits x 
#H#HH sortie : nombre aleatoire s de x bits exactement 


alea:=proc(x) 
local n,s; 
s:=1; 
for n from 1 to x-1 
do 
s:=rand(2)+2x*s; 
od; 
RETURN (s) ; 
end; 


HR 
## nbp(x) 
HER 


#### entree : nombre de bits x 
#### sortie : nombre premier aleatoire p de x bits 


nbp:=proc(x) 
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local p,a; 
while (p=0) 


a:=alea(x) ; 
p:=nextprime(a); 
if p>=2"x 
then p:=0; 
1; 
od; 
RETURN (p) ; 
end; 


HR 
## trouvepqk(x,y) 
HR 


#### entree : nombre de bits x d’un nombre premier q 
nombre de bits y d’un nombre premier p 
ces deux nombres sont tels que q divise p-1 
#### sortie : p,q, k tel que p=2kq+i, 
HHHH compteur est le nombre d’iteratons pour 
HHHH trouver p, une fois q construit 


trouvepqk:=proc(x,y) 
local z,k,q,deuxq,p,compteur,u; 
compteur :=1; 


Z:=y-x-1; 

q:=nbp(x) ; 
deuxq:=2*q; 
k:=alea(z); 


p:=deuxq*k+1; 
while (is_pseudoprime(p)=0) 
do 
p:=p+deuxq; 
compteur :=compteur+1; 
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k:=k+1; 
od; 
u:=[p,q,k,compteur]; 
RETURN (u) ; 
end; 


HIER 
## prim(p,q,k) 
HIER 


#### entree : p,q,k de la sortie de la procedure precedente 
HHHHH p=2kq+i 
#### sortie : Un element primitif alpha de Z/pZ 


prim:=proc(p,q,k) 
local f,j,deuxk,t,alpha,y; 
deuxk:=2*Kk; 
f:=ifactors (deuxk) ; 
t:=size(f) ; 
y:=0; 
alpha:=1; 
while (y=0) 
do 
y:=1; 
alpha:=alpha+i; 
if powmod(alpha,deuxk,p)=1 
then 


while ((y=1) and (j <t)) 

do 

if powmod(alpha,iquo(p-1,f[j]1),p)=1 
then y:=0; 

fi; 
j:=5+2; 

od; 

T1; 
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od; 
RETURN (alpha) ; 
end; 


10.4 Une session de calcul 


Voici une session de calcul avec xcas. On choisit pour q une taille de 874 
bits, et pour p une taille de 1024 bits. La taille de 2*xk doit donc être de 150 
bits, et celle de k de 149 bits, ce qui fait que k peut être facilement factorisé. 


On cherche p, q et k tels que p = 2kq + 1. 


u := of(trouvepqk, [874, 1024]) — 
[847434702647920618132328639463206504746782160 
61533006449870240203007744627180184397285191 
19069422827000558182905336922721273179395395 
24136266739740570992112117523932497386716123 
70155380821091982967631603450407844018120905 
64132507687818541979694030068100685669863137 
5177540711869789363140337168543688828000521, 


10857317176242920389243014706907901175279977 
96868165818524726105268662626627106241984579 
91455823882171774875468182025447927560260986 
85387527048184593342486350918852755182557587 
71344141222851954766466239096853132949745483 
22024312541321124535144134739562182930750467. 


390259715587109698032584610171005489694708780, 


490] 
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On remarque qu’on à fait 490 itérations avant de trouver p à partir de q. 
On extrait du tableau les paramètres qui vont servir par la suite : 


pi=aUle;0)= 

847434702647920618132328639463206504746782160 
61533006449870240203007744627180184397285191 
19069422827000558182905336922721273179395395 
24136266739740570992112117523932497386716123 
70155380821091982967631603450407844018120905 
64132507687818541979694030068100685669863137 

2177540711869789363140337168543688828000521 


= al) = 
10857317176242920389243014706907901175279977 
96868165818524726105268662626627106241984579 
91455823882171774875468182025447927560260986 
85387527048184593342486350918852755182557587 
71344141222851954766466239096853132949745483 
22024312541321124535144134739562182930750467 


hr=attus?)= 
390259715587109698032584610171005489694708780 

La fonction prim() calcule la factorisation de k. On dispose alors à ce 
stade de la factorisation complète de p — 1. La fonction prim() calcule alors 
un élément primitif à : 

alpha := of(prim, [p, q, k]) = 58. 

Le système est mis en place. 

Remarque : Dans certaines situations il n’est pas souhaitable que l’élément 


primitif trouvé soit un (petit) diviseur de p— 1. On a souvent intérêt à partir 
d’une valeur tirée au sort et non pas de 2 comme on a fait ici (cf. [1] p. 68). 
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11 La signature avec ombre des cartes ban- 
caires 


11.1 Présentation du problème 


Nous présentons ici le principe de la signature avec ombre uti- 
lisée pour les cartes bancaires. Les nombres que nous construisons pseudo- 
aléatoirement sont évidemment différents de ceux utilisés pour la carte ban- 
caire et d’ailleurs plus longs. La signature avec ombre n’est que l’un des 
systèmes de sécurité des cartes bancaires. Il s'applique dans le cas (de plus 
en plus rare) où le terminal de paiement du commerçant n’est pas connecté 
au réseau des banques. Dans ce cas il faut vérifier une ” cohérence interne” 
de la carte pour garantir sa conformité. 


Le principe est le suivant : Un système de signature RSA est mis en place. 
Le module n est le produit de deux grands nombres premiers p et q (gardés 
secrets par les concepteurs) de telle sorte que g(n) = (p—1)(q—1) ne soit pas 
divisible par 3. Cette dernière condition permet de travailler avec l’ exposant 
public e = 3. L’exposant privé d (qui n’est bien entendu connu que des 
concepteurs) vérifie ed = 1  (@(n)). À chaque carte est associé un nombre 
I de k bits à partir duquel est construit le nombre ”’ombré” J de 2 *x k bits 
obtenu en concaténant / avec lui-même. Autrement dit, J = I x 2° + I. Ce 
nombre J est signé avec la clé privée d du système : les concepteurs calculent 
le nombre À — JŸ mod n. Les deux nombres Z et À sont stockés dans la 
carte, dans une zone accessible en lecture, après déblocage par l’entrée du 
bon PIN-code. La vérification se fait alors de la manière suivante : Après 
l’entrée du bon PIN-code par le possesseur de la carte, le terminal bancaire 
récupère Z (et donc J) et À. Il calcule AŸ mod n et vérifie qu’il trouve bien 
de 


Que peut faire un pirate qui veut créer une carte valide vis à vis de cette 
protection ? Le module n est bien entendu public. Les concepteurs n’ont pas 
de raison de le divulguer, mais dans ce cas il peut être facilement retrouvé, 
soit par le calcul (comme on va le voir dans la suite), soit par examen du 
programme d’un terminal de paiement. Si le pirate ne sait pas factoriser n (ce 
qui devrait être le cas pourvu que n soit choisi assez grand), il peut penser 
à partir à l'envers : Il choisit un À, calcule J — AŸ mod n. La probabilité 
pour qu’il tombe sur un nombre J ”’ombré” est infime. 

Ce thème est inspiré d’une affaire célèbre de cassage de la carte bancaire 
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(cf. [1] p. 194). Le module était alors trop petit et a pu être factorisé (après 
avoir été retrouvé par désassemblage de la mémoire morte d’un terminal de 
paiement). 


11.2 Mise en place du système 


Nous allons simuler un tel système en utilisant un logiciel de calcul. Le 
logiciel utilisé est xcas [2] 


11.2.1 Le module 


Nous allons construire deux nombres premiers p et q de 512 bits chacun 
au (pseudo) hasard. Pour construire p on construit au hasard un nombre a de 
512 bits et on utilise la fonction nextprime() appliquée à a. Pour q on refait 
la même chose à partir d’un autre nombre b au hasard, de 512 bits. (Pour 
les principes qui soutiennent la fonction nextprime(), se référer au cours [1] 
p. 365 (densité des nombres premiers, tests de primalité)). On construira p 
et q tels que (p — 1) et (q — 1) ne soient pas divisibles par 3. 


11.2.2 Les exposants de chiffrement et de déchiffrement 


Les deux nombres p et q étant construits, la valeur de e ayant été fixée 
à 3, il ne reste plus qu’à calculer d. Pour cela il faut résoudre l’équation de 
Bézout : 

ed — k(p — 1)(g — 1) = 1. 

La méthode standard est l’algorithme d’Euclide étendu (cf. [1] p. 343). Ce- 
pendant ici, comme e = 3, on sait qu'il existe une solution avec 1 < k < 2. Il 
suffit donc de tester lequel des deux nombres 1+(p—1)(q—1),1+2(p—1)(q—-1) 
est divisible par 3. On en déduit tout de suite d. 


11.2.3 Programmation des fonctions utiles 


HHHHHHHÉHHHHHHHE 
## alea(x) 
HHÉHHHHHÉHHHHHHHE 


#H## entree : nombre de bits x 
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#### sortie : nombre aleatoire s de x bits (exactement) 
#### Algorithme de type Horner 


alea:=proc(x) 
local n,s; 
s:=1; 
for n from 1 to x-1 
do 
s:=rand(2)+2x*s; 
od; 
RETURN (s) ; 
end; 


HER 
## nbp(x) 
HER 


#H#H## entree : nombre de bits x 
##H# sortie : nombre premier aleatoire p de x bits (exactement) 
#H#H## tel que p-1 ne soit pas divisible par 3 


nbp:=proc(x) 
local p,a; 
p:=0; 
while (p=0) 
do 
a:=alea(x) ; 
p:=nextprime(a); 
while (irem(p-1,3)=0) 
do 
p:=nextprime(p+1); 
od; 
if p>=2"x 
then p:=0; 
I; 
od; 
RETURN (p) ; 
end; 
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HANNAH 
## RSA(Xx) 
HANNAH 


#### entree : nombre de bits x de p et de q 
##H# sortie : u:=[p,q,n,f,ee,dl] 


HR p et q sont deux nombres premiers aléatoires de x bits 
#HHHH n est le produit pq , f est le produit (p-1)(q-1) 

HHHH non divisible par 3, 

HHHH ee est l’exposant public 3, d est l’exposant prive. 


rsa:=proc(x) 
local u,p,q,n,f,ee,d; 
p:=nbp(x) ; 
q:=nbp(x) ; 
n:=p*xq; 
f:=(p-1)x(q-1); 
ee:=3; 
if irem(1+f,3)=0 
then d:=iquo(i+f,3); 
else d:=iquo(1+2*xf,3); 
F1: 
u:=[p,q,n,f,ee,d]; 
RETURN (u) ; 
end; 


HANNAH 
## J(x) 
HANNAH 


#### entree : nombre de bits x 
#H#H##H sortie : m un nombre aleatoire avec ombre, de 2x bits. 


J:=proc(x) 
local m; 
m:=alea(x) ; 
m:=2"x *m+m; 
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RETURN (m) ; 
end; 


11.2.4 Une session de calcul 
On a reproduit ici les étapes importantes de la session. 
Calcul d’un nombre m ombré. 
m := of(J, [160]) — 


191381212860818595173073621977680943775371118412 
8845556749405056934328317886453161960069974523015 


Vérification que m est bien ombré. 
iquo(m, 2150) = 
1309483396887138809521229406871667794774305602695 
irem(m, 2190) = 
1309483396887138809521229406871667794774305602695 


Mise en place du système de signature RSA. 


ù:= of(rsa; (519) =" [p;a;n, 6e d| = 
[22309906155339105561747258172747934211838690139636808 


925028593614361911174440489568186416210127468593494617 


78890377979011890602869274118155684419856272601, 


130070278898976784785713626248813232487852141720639413 


662376116861098013460789493376854188817989665836373072 
9504721614258665921832762759063151806483801287, 


60 


290185571583495634908556285018536715734198118276482251 


10772333892156536127001992452810057204914117796285004774 
23579001511391307700007090338362957923746791627775352484 
07728479855075680776040359617561918164109177404447324948 
37236970995033787434102296850914564659322188263074195040 
47064362222873780445386637487, 


29018557158349563490855628501853671573419811827648225110 


77233389215653612700199245281005720491411779628500477423 
97900151139130770000709033836295792374678809608194796039 
88807666886770448346575337851880115660626474239432023124 
71645155612791559901037041573743273423823726714148947522 
362325345654944219046563600, 


3; 


19345704772233042327237085667902447715613207885098816740 


91488926143769075133466163520670480327607853085666984949 
05266767426087180000472689224197194916452539738796530693 
25871777924513632231050225234586743773750982826288015416 
47763437075194373267358027715828848949215817809432631681 
574883563769962812697709067) 


Après récupération des nombres n et d dans le tableau précédent on cal- 
cule la signature de m. 
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a := powmod(m, d,n) = 
22899095928567191928917700774422548400530644861426055837 
91415063967183317929221785364043661268805336323205 741287 
85501809876060102030784245050803262581234568091205163480 
28756394645799810987780067786365460607694481804303264625 
67162506921693213981737812210544435878915258231972719479 

30040049977555388729059039 


On vérifie la signature. 


b := powmod(a, 3,n) — 
19138121286081859517307362197768094377537111841288455567 
49405056934328317886453161960069974523015 


M —= 
19138121286081859517307362197768094377537111841288455567 
49405056934328317886453161960069974523015 


On vérifie que m = b. 


11.3 Détermination du module 
11.3.1 Principe 


Le module, quoique public dans ce système, n’a pas besoin d’être fourni 
aux utilisateurs. Mais dans ce cas il est facile de le retrouver par observation 
de deux transactions avec deux cartes distinctes. En effet si on connaît deux 
couples (J1, A1), (J2, A) on peut écrire que : 


A au Ji —= kin, 


ae = Jo — kon. 
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En conséquence, 
gcd(AŸ _ Ji, A5 _ Jo) —= nacd(ki, ko). 


Mais la probabilité pour que les nombres k:,k2, qu’on peut supposer pris au 
hasard, aient un ged supérieur à s est de l’ordre de 1/s?. En conséquence on 
calcule gcd(A4Ÿ— Ji, AÏ—.J), on en cherche les diviseurs < 1000 (par exemple). 
Après simplification par ces nombres, on obtient très probablement n. 


11.3.2 Fonctions utiles 


HER 
## recup(x) 
HER 


#H#H# entree : deux transaction : Ji, Al, J2, A2 
##H# sortie : le module n 


recupn:=proc(J1,A1,J2,A2) 
local a,b,i; 
a:=A1"3-J1; 
b:=A2"3-J2; 
d:=gcd(a,b) ; 
for i from 2 to 1000 
do 
if irem(d,i)=0 
then d:=iquo(d,i); 
fi; 
od; 
RETURN (d) ; 
end; 


11.3.3 Un session de calcul 


On met en place le système de signature RSA. 
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u:=of(rsa,1512)) = (0,9, n,f,6e,d| = 
[115575051266682630132480239967727278608 
6180528445277956958783147663504878096994 
3565287164525899384315131063140185642263 
415978464285913933254198607716241327, 


1298798676767627210194987643521609081364 

3650212656148288042839836346078501707535 

9101925639817521670476490060293355850432 
27423883557347382786263908859127407, 


1501087236525180771002493004866838159709 
4004851340369768340978551089436486027532 
0914369394851882605495302846809417226345 
1743792866949436743579956877554291327026 
1406940237080569250713514671725872905221 
6625811035983987199056681889790739096064 
1333198734726963899437574877054191720015 
42296637496548390519051749089, 


1501087236525180771002493004866838159709 
4004851340369768340978551089436486027532 
091436939485188260549530284680941 7226345 
1743792866949436743579956877554291081571 
2217505783569049460670315789858422359671 
9516883178353315886075554607113260020584 
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4048122219213336098745879664781125285991 
94453376180507928002476380356, 


3, 


1000724824350120514001662003244558773139 
6003234226913178893985700726290990685021 
3942912929901255070330201897872944817563 
4495861911299624495719971251702860721047 
4811670522379366307113543859905614906447 
9677922118902210590717036404742173347056 
2698748146142224065830586443187416857327 
96302250787005285331984253571| 


En voici les valeurs du module et de l’exposant privé. 


ni at(u,3)= 
1501087236525180771002493004866838159709 
4004851340369768340978551089436486027532 
091436939485188260549530284680941 7226345 
1743792866949436743579956877554291327026 
1406940237080569250713514671725872905221 
6625811035983987199056681889790739096064 
1333198734726963899437574877054191720015 
42296637496548390519051749089 


d'=at(u0)—= 
1000724824350120514001662003244558773139 
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6003234226913178893985700726290990685021 
3942912929901255070330201897872944817563 
4495861911299624495719971251702860721047 
4811670522379366307113543859905614906447 
9677922118902210590717036404742173347056 
2698748146142224065830586443187416857327 
96302250787005285334984253571 
On simule deux cartes (m1,a1) et (mo, a2) (m; est la valeur ombrée et a; 
la valeur obtenue en signant mi). 

mi := of(J, [160]) = 
1883698333446792683644936570061898120028 
6224559288688284026505628428892013435941 

05189313746075790 


al := powmod(ml, d,n) = 
1782609113328797750877243758176430935878 
6568924280308435563386880783599430557637 
0129474750904334238736731925682618623434 
9335465629685690953929412180882023806662 
7927931064362897548911140981255454623320 
7145419125047895039351815414911149238408 
2735385755273414717612631776263957857126 
8879164273408497975390973548 


m2 := of(J, [160]) = 
1840243020753896572078092756907043162576 
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7394421600930851274760396250107282004677 
13820228252686350 


a2 := powmod(m2, d,n) = 
1411747878125505580993699763752515305378 
2947154876899570264397187858138418477195 
3295947666408330068026135316690352454327 
8863136431339736841065121975839408941281 
0759543302162131474948270999852785240019 
686386689678845188586184414668871 1866966 
1634609112194492317474446409797700282256 
49102925018599070785290361680 


r := of(recupn, [ml, al, m2, a2]) = 
1501087236525180771002493004866838159709 
4004851340369768340978551089436486027532 
091436939485188260549530284680941 7226345 
1743792866949436743579956877554291327026 
1406940237080569250713514671725872905221 
6625811035983987199056681889790739096064 
1333198734726963899437574877054191720015 

42296637496548390519051749089 


On constate que r=n. On a donc bien récupéré le module. 
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12 Attaque par faute de la signature RSA 


12.1 Présentation du problème 


Nous présentons ici le principe de la signature RSA. Ce principe de 
signature peut être utilisé par une carte à puce, qui sert alors à signer. Il faut 
donc une implémentation efficace du fait des faibles moyens de calcul de la 
carte. Nous verrons comment accélérer le calcul et, hélas, comment, si on n’y 
prend garde, fracasser le système par une attaque physico-mathématique (et 
relativement traumatisante pour la carte). 

En pratique la carte à puce dispose en interne (et donc de manière inac- 
cessible) de sa clé privée (clé de signature). Le terminal de vérification (qui 
a accès aux clés publiques des usagers) envoie au hasard un (ou plusieurs) 
nombres à signer, la carte fait le calcul en interne dans une zone inaccessible 
(par un programme non modifiable) de la signature du nombre proposé et la 
renvoie au terminal vérificateur. Le terminal vérifie avec la clé publique de 
la carte que la signature est valide. 


12.2 Description de la signature RSA 


Le principe est le suivant : Un système de signature RSA est mis en place. 
Le module n est le produit de deux grands nombres premiers p et q. On pose : 


g(n) = (p—1)(a —1). 
Soit un entier e tel que : 
1<e< o(n) 
e NON) =1. 


Soit d un entier vérifiant 
1<d< @(n) 


ed=1 p(n). 


On définit la clé publique : (n,e) et la clé privée (stockée dans la carte) : d. 
Un message 0 < m < n est signé en calculant (de manière interne à la 
carte) : 
s—=m? mod n. 


Le message signé est alors (m, 5). 
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La signature peut être vérifiée (hors de la carte) par tous en calculant : 


s° mod n. 


Paramètres : p,q,n,@(n),e,d 
Clé publique : (n,e) 
Clé privée : d 


d mod n 


Signature : (m,s) avec s = m 
Vérification : m—s" mod n 


12.3 Mise en place effective 
12.3.1 Trouver p et q 


Les nombres p et q sont obtenus par tirage au sort parmi les nombres 
impairs de la taille fixée (512 bits) puis testés par l’algorithme de Miller- 
Rabin (cf. [1] p. 364). Si le test échoue, on incrémente de 2 le nombre qui a 
été testé non premier et on reteste. 


12.3.2 Calculer un e valide 


On tire au sort e jusqu’à ce que gcd(e, p{(n)) = 1. 


12.3.3 Calculer d 


On utilise l'algorithme d’Euclide étendu appliqué à e et o(n) qui nous 
permet de déterminer l’inverse d de e modulo @(n). Cet algorithme est rapide 
(cf. théorème de Lamé utilisant la suite de Fibonacci). 


12.4 Calcul de la signature 


12.4.1 Calcul d’une puissance modulo 


Il s’agit de calculer mŸ mod n. On connaît un algorithme rapide qui 


permet de faire le calcul. Cet algorithme a été donné dans la section sur 
l'algorithme de Hôrner. 
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12.4.2 On peut mieux faire (les chinoiïs à la rescousse) 


Le propriétaire de la clé privée (la carte) connaît d donc connaît p et q 
(la connaissance de la factorisation est quasi-équivalente à la connaissance 
de d. En pratique on peut toujours récupérer p, q à partir de n,e,d). Donc 
on peut travailler modulo p et modulo q et reconstituer les résultats modulo 
n par le théorème des restes chinois. Rappelons en outre que grâce au petit 
théorème de Fermat, travailler modulo p sur des nombres compris entre 1 
et p — 1 permet de travailler modulo p — 1 sur les exposants affectés à ces 
nombres. 


Posons donc : 
dd =d modp—1, 


d>=d modq—1, 


ss =mt mod D, 


S>=m%? mod gq, 


d 


(c’est plus court à calculer que m° mod n car les exposants sont plus courts). 


Alors la signature s vérifie : 


S=S2 (q). 


Le théorème des restes chinois permet de conclure : on calcule a et b tels 
que ap + bq = 1 et on obtient (vérification immédiate) 


5 = apS2 + bgs1 mod pq. 
12.5 Une châtaigne bien placée 
Supposons que la carte calcule correctement 
= di 
8 =M mod p, 


mais fasse une erreur dans le deuxième calcul et obtienne 


SSÉS2 (g). 
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le s’ calculé est 
s'— aps, + bqs1 mod pq. 


Donc 
s°=m (p), 
s°£m (q). 


On conclut que 
ged(s° —m,n) = p, 


et on a factorisé le module uniquement avec des données publiques (et le 
calcul erroné s’ de la vraie signature s). 

Il suffit donc de provoquer une erreur de calcul au bon moment pour 
que la carte ”laisse fuir” la factorisation de n. Si on considère que le calcul 
d’une puissance modulo demande de nombreux cycles du processeur, il est 
relativement facile d'envoyer une impulsion électromagnétique au circuit au 
bon moment. Une impulsion trop forte détruit le circuit (on évitera de mettre 
les cartes à puce dans un four à micro-ondes). 


12.6 Programmation des fonctions utiles 


HRHÉHHHÉHHHHHHHHHH 
## alea(x) 
HRHHHHÉHÉHHHHHHHHHHH 


##H#H# entree : nombre de bits x 
##H#H# sortie : nombre aleatoire s de x bits exactement 


alea:=proc(x) 
local n,s; 
s:=1; 
for n from 1 to x-1 
do 
s:=rand(2)+2x*s; 
od; 
RETURN (s) ; 
end; 
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HHHHHHHHHHHHHHHHHH 
## toutalea(x) 
HÉHHHHHHHÉHEHHHHHH 


#### entree : nombre de bits x 
##HH## sortie : nombre aleatoire s de x bits au plus 


toutalea:=proc(x) 
local n,s; 
S:=0; 
for n from 1 to x 
do 
s:=rand(2)+2x*s; 
od; 
RETURN (s) ; 
end; 


HER 
## nbpgene(x) 
HER 


###H# entree : nombre de bits x 
#### sortie : nombre premier p de x bits exactement 


nbpgene :=proc(x) 
local p,a; 
p:=0; 
while (p=0) 
do 
a:=alea(x) ; 
p:=nextprime(a); 
if p>=2"x 
then p:=0; 
I; 
od; 
RETURN (p) ; 
end; 
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HER 
## rsagene(x) 
HER 


#H#H##H entree : nombre de bits x 
##H# sortie : taleau u=[p,q,n,eul,ee,d] 


HR où p et q ont x bits n=pq, 
#HHHH eul=(p-1)*(q-1), ee exposant de chiffrement 
#HHHH d exposant de déchiffrement (ou de signature) 


rsagene:=proc(x) 
local u,p,q,n,eul,ee,d,t; 
p:=nbpgene (x) ; 
q:=nbpgene (x) ; 
n:=p*xq; 
eul:=(p-1)*x(q-1) ; 
while (ee=0) 
do 
ee:=toutalea(2*x) ; 
if ((ee>=eul) or (gcd(ee,eul)<>1)) 
then ee:=0; 
fi; 
od; 
t:=iabcuv(eul ,ee,1); 
d:=t[2]; 
if d<0O 
then d:=d+eul; 
fi; 
u:=[p,q,n,eul,ee,d]; 
RETURN (u) ; 
end; 


HER 
## siglent (x) 
HER 


HHH#H entree : message x 
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#### sortie : signature du message x avec la clé privée 
HHHH du système stocké dans le tableau u 
HHHH le calcul étant direct. 


siglent:=proc(x,u) 
local s; 
s:=poumod(x,u[6] ,u[3]) ; 
RETURN (s) ; 

end; 


HER 
## bezoutpq(u) 
HER 


#H### entree : u tableau contenant la description d’un système RSA 
#### sortie : v tableau contenant a et b tels que ap+tbq=1 


bezoutpq:=proc(u) 
local v; 
v:=iabcuv(ul[1] ,u[2],1); 
RETURN (v) ; 

end; 


HER 
## sigrap(x) 
HER 


#H#HH# entree : message x, tableau u décrivant le système RSA utilisé, 


HHHH tableau v contenant a et b tels que aptbq=1. 
#### sortie : signature du message x avec la clé privée 
HHHH du système stocké dans le tableau u 

HHHH le calcul étant fait en utilisant le théorème 
HHHH des restes chinois. 


sigrap:=proc(x,u,v) 
local s,di,d2,s1,s2; 
di:=irem(ul6] ,u[1]-1) ; 
d2:=irem(ul6] ,u[2]-1) ; 
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si:=powmod(x,d1i,ul[1]); 
s2:=powmod(x,d2,ul[2]); 
s:=irem(v{il*u[1]*xs2+v{[21xu[2]1*xs1,u([3]); 
RETURN (s) ; 

end; 


HR 
## sigraperr(x) 
HER 


#HHHH entree : message x, tableau u décrivant le système RSA utilisé, 


HHHH tableau v contenant a et b tels que aptbq=1, un nombre 
HA de bits k d’un calcul erroné. 

#### sortie : signature erronée du message x avec la clé privée 

HHHH du système stocké dans le tableau u 

HA le calcul étant fait en utilisant le théorème 

HHHH des restes chinois à partir d’une valeur erronée de s2. 


sigraperr:=proc(x,u,v,k) 
local s,di,d2,s1,s2; 
di:=irem(ul6] ,u[1]-1) ; 
d2:=irem(ul[6] ,u[2]-1) ; 
si:=powmod(x,d1i,ul[1]); 
s2:=alea(k) ; 
s:=irem(v{il*u[1]*xs2+v[2]1xu[2]1*xs1,u([3]); 
RETURN (s) ; 

end; 


HRHHHHHHHHHHHHHHHH 
## verif(x,s,w) 
HRHHHHHHHHHHHHHHHH 


#HHH# entree : message x, signature &, 
#HH# tableau w contenant n et ee (clé publique) 


##HH# sortie : O ou 1 suivant que la signature est vérifiée ou non. 


verif:=proc(x,s,w) 
local si,r; 
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si:=powmod(s ,w[2] ,w[1]) ; 
r:=i; 
if (s1=x) 
then r:=0; 
fi; 
RETURN (r) ; 
end; 


12.7 Une session de calcul 
u := rsagene(512) = [p, q,n, eul, ee, d] 


[1155750512666826301324802399677272786086 

18052844527795695878314766350487809699435 

65287164525899384315131063140185642263415 
978464285913933254198607716241327, 


12987986767676272101949876435216090813643 

65021265614828804283983634607850170753551 

01925639817521670476490060293355850432274 
23883557347382786263908859127407, 


15010872365251807710024930048668381597094 
00485134036976834097855108943648602753209 
1436939485188260549530284680941 7226345174 
37928669494367435799568775542913270261406 
94023708056925071351467172587290522166258 
11035983987199056681889790739096064133319 
87347269638994375748770541917200154229663 
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7496548390519051749089, 


15010872365251807710024930048668381597094 
00485134036976834097855108943648602753209 
1436939485188260549530284680941 7226345174 
37928669494367435799568775542910815712217 
90578356904946067031578985842235967195168 
83178353315886075554607113260020584404812 
22192133360987458796647811252859919445337 
6180507928002476380356, 


94836650354125293616638313588351371960068 
64479231744934885950894332102995714961622 
90395792223823788502045810156288270233342 
91877815124734934969625807675657073217976 
23587213666748749799026085483246807770057 
46114673788505969592407293039902699464124 
64545226942934623336738952746719877796675 
586667611989729340191, 


12054694383666474335436534583367716950380 
26958192575854888796505592911335057989806 
68452031485214484158591515784701993049912 
78284293614744269285332715138946815853042 
63983589218271601042149465668500082056020 
10703961882093324570837782536962771914443 
63973331308313892739758613385515450405758 


Te 


5892554631154787116947] 


p:= ull] = 
11557505126668263013248023996772727860861 
80528445277956958783147663504878096094356 
52871645258993843151310631401856422634159 
78464285913933254198607716241327 


q:= ul] — 
12987986767676272101949876435216090813643 
65021265614828804283983634607850170753551 
01925639817521670476490060293355850432274 
238835573473827862639088591 27407 


ni=u|3] = 
15010872365251807710024930048668381597094 
00485134036976834097855108943648602753209 
1436939485188260549530284680941 7226345174 
37928669494367435799568775542913270261406 
94023708056925071351467172587290522166258 
11035983987199056681889790739096064133319 
87347269638994375748770541917200154229663 
7496548390519051749089 


emule 
9483665035412529361663831358835 1371960068 
64479231744934885950894332102995714961622 


78 


90395792223823788502045810156288270233342 
91877815124734934969625807675657073217976 
235872136667487497990260854832468077 70057 
46114673788505969592407293039902699464124 
64545226942934623336738952746719877796675 
586667611989729340191 


Hisdôl| 
12054694383666474335436534583367716950380 
2695819257585488879650559291133505 7989806 
68452031485214484158591515784701993049912 
78284293614744269285332715138946815853042 
63983589218271601042149465668500082056020 
10703961882093324570837782536962771914443 
63973331308313892739758613385515450405758 

5892554631154787116947 


w := [n, ee] — 
[1501087236525180771002493004866838159709 
40048513403697683409785510894364860275320 
91436939485188260549530284680941722634517 
43792866949436743579956877554291327026140 
69402370805692507135146717258729052216625 
81103598398719905668188979073909606413331 
98734726963899437574877054191720015422966 

37496548390519051749089, 


79 


94836650354125293616638313588351371960068 
64479231744934885950894332102995714961622 
90395792223823788502045810156288270233342 
91877815124734934969625807675657073217976 
235872136667487497990260854832468077 70057 
46114673788505969592407293039902699464124 
64545226942934623336738952746719877796675 
586667611989729340191] 


v := bezoutpq(u) = 
[—-215480338097076826858573289778940572355 
60245419339350762446330302295557281871042 
00601054601651271715171040288716263768494 
054009558618625784480845846194158, 1917475 
86196435990633108714455585401483054197515 
09253514252584407119243048609748340198172 
75723150204001392401650637359315226781605 

462889292028974282301181| 


On engendre le message à signer (on prend 128 bits) : 


hi Gléa(l28)— 
306958758937350771076293918003670230104 


On signe avec la méthode initiale : 


slent := siglent(m,u) = 


83140255758003977745935195812465826406127 
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92402059191937143136029860476278713114249 
28327894197170169173605732905090136534169 
83313542482435928055764121891564088976383 
99213620278072469465451017430619673245739 
89581815342956285474223087001904855193166 
92710564766441404507158428251683667587190 
844431451897431629163 


On signe en utilusant les restes chinois (méthode rapide) et on trouve 
évidemment la même chose : 


srap := sigrap(m, u,v) = 
83140255758003977745935195812465826406127 
52402059191937143136029860476278713114249 
28327894197170169173605732905090136534169 
83313542482435928055764121891564088976383 
99213620278072469465451017430619673245739 
89581815342956285474223087001904855193166 
92710564766441404507158428251683667587190 

844431451897431629163 


On vérifie la signature : 
r := verif(m, slent, w) = 0 


elle est correcte. 


On produit une signature par la méthode des reste chinois avec un des 
deux calculs erroné : 


serr := sigraperr(m, u, v, 128) = 


792714385211773136869461638296130737520195 
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176099989514849703522366620009423367188470 
415308877326424153480536298836075362075185 
0930939940019413674452836569374121 14995424 
016119160901027688141110640816144594454471 
897954992377271943733928821338911950510698 
828698580071273184442236996658343009697664 
19928731590468 


On retrouve alors le facteur p ce qui casse le système : 


z := powmod(serr,ee,n) = 
119717545057683844592427586350938719992807 
897142277759144399480741914436634094167869 
618705054285556667783758643954019153947298 
767174903283384109163743897164419771733505 
997197559551876874400964877192580102841672 
294099639804403361469297436136655920155476 
941597054515321402987953001378223158277992 

778598811237987 


Let 
119717545057683844592427586350938719992807 
897142277759144399480741914436634094167869 
618705054285556667783758643954019153947298 
767174903283384109163743897164419771733505 
997197559551876874400964877192580102841672 
294099639804403361469297436136655920155476 
941597054515321402680994242440872387201698 
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860595141007883 


perp =pod(zl,n)—= 
115575051266682630132480239967727278608618 
052844527795695878314766350487809699435652 
871645258993843151310631401856422634159784 
64285913933254198607716241327 


on vérifie qu’on à bien retrouvé p : 


difieré:=perp —p= 0. 


13 Attaque de RSA par fraction continue 


13.1 Présentation du problème 


La primitive de chiffrement RSA (ou de signature) est sensible à une at- 
taque dûe à Wiener, utilisant un développement en fraction continue (voir 
[1], annexe C, p. 375), dans le cas où l’exposant de chiffrement (ou de si- 
gnature) d est ”petit”. Si la taille de d (son nombre de bits) est inférieure 
au quart de la taille du module, cette attaque fonctionne. Nous allons voir 
comment la monter. 


13.2 Rappels sur la primitive RSA 


On rappelle que le système RSA est construit à partir de deux grands 
nombres premiers distincts p et q dont on note n le produit (n — pq). Ce 
nombre n qui est appelé le module est public (mais bien sûr p et q sont 
secrets). On note p{(n) = (p — 1)(q — 1) (valeur en n de la fonction d’Euler). 
L’exposant de chiffrement 1 < e < @(n) est un nombre premier avec p(n) qui 
est aussi public. L’exposant de déchiffrement d (clé privée) est secret. Il est 
calculé de manière à ce que : 


ed=1 (p(n)), 
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1 <d< @(n). 
Dans la suite on va supposer que p > /n > q et que p et q ont la même 


taille, ce qui implique que : 


ie 
q 


On supposera aussi que : 


logo(n) — 3. 


13.3 Si on connaît d alors on peut factoriser n 


Théorème 13.1 1! existe un algorithme probabiliste ayant pour entrées 
le module n les exposants de chiffrement e et de déchiffrement d, qui calcule 
la factorisation pq de n. 


Preuve. Remarquons tout d’abord que : 


x =1 (n) 

si et seulement si : ; 
x” =1 (p) 
et 
x =1 (q). 

Ces équations sont vérifiées si et seulement si : 

æ=+1 (p) 
et 
æ=+1l (q). 


L’équation initiale possède quatre solutions, deux d’entre elles sont les 
solutions triviales vérifiant x = +1 (n). 

Si x est une solution non triviale, n divise (x + 1)(x — 1) mais ne divise 
ni (æ—1) ni (x +1). Donc: 


pecd(x + 1,n) = p ou q, 


pgcd(x — 1,n) = q ou p. 


Donc, si nous connaissons une racine carrée non triviale de 1 modulo n, 
nous pouvons calculer en temps polynomial la factorisation de n. 
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Maintenant le problème qui se pose est : comment calculer une racine 
carrée non triviale de 1 modulo n ? 

Choisissons au hasard w tel que 1 < w < n — 1. Si pgcd(w,n) > 1, nous 
avons un facteur premier de n. 

Sinon, nous écrivons (n'oublions pas que d est connu) : 


éd=1—=2"f; 
où s > let r est impair. Nous savons que : 
287 ed-1 we) 


w = W 


et par suite : 
w?T=1 (n). 


Donc, il existe un plus petit t tel que { < s et tel que : 


Notons ft, cet entier. Si to > 0 définissons : 
2to—ly 


Vo — W ; 


de telle sorte que : 
voÉ1 (n) 


et que : 


Maintenant si : 
Vo É el (n), 
nous avons trouvé une racine carrée non triviale de 1 modulo n. 
L’algorithme échoue, et nous devons le réappliquer à un autre w dans les 
deux cas suivants : 


a) to = 0, c’est-à-dire : 


b) il existe t tel que 0 <t < s — 1 et tel que : 


reel) 
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Le nombre des w pour lesquels cet algorithme échoue est d’après le 
théorème de Rabin (voir [1], annexe B, p. 364 ) majoré par es Donc la 
probabilité d'obtenir le résultat avec un w donné est > 3/4. Si nous ne 
pouvons pas obtenir le résultat avec ce w on en tire un autre. La probabi- 
lité d’un nombre infini d’itérations est nulle. De plus l’espérance du nombre 
d’itérations est < 4/3. Maintenant nous pouvons conclure sachant que chaque 


itération à un coût polynomial. 


Remarque importante : L’algorithme permet aussi de déterminer si la 
valeur de d est la bonne ou non. 


13.4 L'attaque 


On sait que : 
ed=1 (n), 
c’est-à-dire : 
ed = 1 +ko(n), 
ou encore : 
ed — kp(n) = 1. 


Compte tenu des résultats connus sur la résolution d’une équation de Bézout 
(voir l’annexe B de [1], p. 346), on peut affirmer que puisque 0 < e < @{n) 
on à aussi 0 < k& < d. 

En outre : 


pin) = (p—1)(g—-1)=n-(p+4a)+1. 


Donc : 
ed=1+k(n—{(p+q)+1), 


ce qui donne en divisant par dn les relations successives suivantes : 


k 1+k—K 
ê pr (p + q) 


di ù 


nd dn 
e _k|_ k(p+g)-k-1 
n di. dn ’ 
e_k| _k(p+a) 
n d dan 
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1 
nd dn 
e _k 3kq 
cru 
CU HE 3k 
in 
CR 3 
dr 
Donc si : 025 
dE 7% 
alors : 
res 
24 — 2/n 
et en conséquence : 
e k 1 
n dl 2% 


D’après un résultat sur les fractions continues (voir le théorème C.14 de [1], 
p. 387), on en conclut que £ est une réduite de <. 

L'attaque est alors la suivante : e et n sont publics, donc l’attaquant 
peut développer + en fraction continue. Il teste alors pour toutes les réduites 
successives, si le dénominateur d permet ou non de factoriser n, et s’ arrête 
dès qu’il a trouvé le bon d et donc la factorisation de n. 


13.5 Les procédures utiles 


HHÉHHHHHHHHHHHHHHHH 
## alea(x) 
HHÉHHHHHHHÉHHHHHHHH 


#H## entree : nombre de bits x 
##H## sortie : nombre aleatoire s de x bits exactement 


alea:=proc(x) 
local n,s; 
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s:=1; 
for n from 1 to x-1 
do 
s:=rand(2)+2x*s; 
od; 
RETURN (s) ; 
end; 


HRHÉHHHÉHHHHHHHHHH 
## toutalea(x) 
HRHÉHHHÉHHHHHHHHHH 


#### entree : nombre de bits x 
#### sortie : nombre aleatoire s de x bits au plus 


toutalea:=proc(x) 
local n,s; 
S:=0; 
for n from 1 to x 
do 
s:=rand(2)+2x*s; 
od; 
RETURN (s) ; 
end; 


HR 
## nbpgene(x) 
HR 


##H## entree : nombre de bits x 
#### sortie : nombre premier p de x bits exactement 


nbpgene :=proc(x) 
local p,a; 
p:=0; 
while (p=0) 
do 
a:=alea(x) ; 
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p:=nextprime(a); 
if p>=2"x 
then p:=0; 
l; 
od; 
RETURN (p) ; 
end; 


HR 
## bezoutpq(u) 
HR 


##HH# entree : u tableau contenant la description d’un système RSA 


#### sortie : v tableau contenant a et b tels que ap+bq=1 


bezoutpq:=proc(u) 
local v; 
v:=iabcuv(ul[1] ,u[2],1); 
RETURN (v) ; 

end; 


HRHÉHHHHHHHHHHHHHH 
## rsadcourt(x) 
HRHÉHHHÉHHHHHHHHHHH 


#H#H## entree : nombre de bits x 
#### sortie : taleau u=[p,q,n,eul,ee,d] 


HHHH où p et q ont x bits n=pq, 

#HH# eul=(p-1)*(q-1), ee exposant de chiffrement 
#HH# d exposant de déchiffrement (ou de signature). 
HHHHH Ici la taille de d est 1/8 de celle de n. 


rsadcourt:=proc(x) 
local u,p,q,n,eul,ee,d,di:t; 
p:=nbpgene (x) ; 
q:=nbpgene (x) ; 
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n:=p*xq; 
eul:=(p-1)*x(q-1) ; 
while (ee=0) 
do 
ee:=toutalea(iquo(x,4)); 
if ((ee>=eul) or (gcd(ee,eul)<>1)) 
then ee:=0; 
T1: 
od; 
t:=iabcuv(eul ,ee,1); 
d:=t[2]; 
if d<0O 
then d:=d+eul; 
fi; 
di:=d; 
d:=ee; 
ee:=dÎ; 
u:=[p,q,n,eul,ee,d]; 
RETURN (u) ; 
end; 


HHHHHRHHHHHHHHHHHH 
## racun(n,ee,d,k) 


HER 


#### entree : module n, exposants ee et d 


HHHH de chiffrement et de déchiffrement, 

HHHH k, la taille de nombres w tirés au sort 

HHHH cette taille est inférieure ou égale à celle de n. 
HHHH Remarque : la procedure suppose d impair. 

#### sortie : un tableau contenant les deux facteurs p et q den 
HHHH (1a connaissance de d permet de factoriser n). 
HHHH Remarque : si le d n’est pas le bon la procedure 
HHHH renvoie [1,1]. 


racun:=proc(n,ee,d,k) 
local i,s,r,w,good,t,v,v0O,u,pq; 
1:=0; 
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good:=1; 
while (good=1) 
do 
W:=n; 
while (w >=n) 
do 
w:=toutalea(k) ; 
od 
r:=ee*xd-1; 
s:=0; 
while (irem(r,2)=0) 
do 
r:=iquo(r,2); 
s:=s+1; 


t:=0; 
u:=r; 
vO:=0; 
v:=powmod(w,u,n) ; 
while ((v<>1) and (t<=s)) 
do 
vO:=v; 
v:=powmod(v,2,n); 
t:=t+1; 
od 
if ((t>0) and (vO<>n-1)) 
then good:=0; 
1; 
od 
pq:=[gcd(vO+1,n) ,gcd(vO-1,n)]; 
RETURN (pq) 
end; 


HHHHHRHHHHHHHHHEHIHHHHSH 
## contfraction(n,ee,k) 
HHHHHRHHHHHHHHHHHIHHHHEH 


#### entree : module n, exposant de chiffrement ee 
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HHHH c’est-à-dire la clé publique, la longueur choisie k du 
HHHH développement en fraction continue. 

#HH# sortie : tableau c des réduites successives du développement 
HHHH de ee/n en fraction continue. 


contfraction:=proc(n,ee,k) 
local v,c,pi,p2,q1,q2,p2s,q2s,pq; 
v:=dfc(ee/n,k); 


pi:=vl1]; 
p2:=vl1]*+vl21+1; 
ql:=1; 

q2:=v{2]; 


c:=[p1/q1,p2/q2]; 
for i from 3 to length(v) 


do 
p2s:=p2; 
p2:=vli]xp2+pl; 
pi:=p2s; 
g2s:=q2; 
g2:=vlil]*q2+qi; 
qli:=q2s; 
c:=concat(c,p2/q2); 

od; 

RETURN (c) ; 


end; 
HAHHRHHHERHHHHEHHHHEHHE 
##H retrouved(n,ee,c,k) 


HER 


#### entree : module n, exposant de chiffrement ee 


HHHH c’est-à-dire la clé publique, c tableau de réduites, 

HHHH k taille des w pour les tests de factorisation (procedure racun). 
#### sortie : tableau w contenant deux objets 

HHHH le tableau pq contenant les deux facteurs 

HHHH p et q de n, et i le nombre d’itérations nécessaires. 


retrouved:=proc(n,ee,c,k) 
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local i,s,0K,v,ql; 
s:=length(c); 
OK :=1; 
i1:=2; 
while ((DK=1) and (i<=s)) 
do 
qi:=denom(clil); 
if (irem(qi,2)=1) then 
v:=racun(n,ee,ql,k); 
if v{1]>1 then 
OK :=0; 
fi; 
fi; 
i:=i+l; 
od; 
w:=[v,il; 
RETURN (w) ; 
end; 


13.6 Une session de calcul 


on lance les opérations suivantes : 


u:=rsadcourt (512) ; 
n:=u[3]; 

ee:=u(5]; 

d:=u[6] ; 
c:=contfraction(n,ee, 100); 
w:=retrouved(n,ee,c,1023) ; 
result:=w[1] [1]xw[1] [2]-n; 
i:=w[2]; 


et on obtient : 


ü := rsadcourt(512) = [p, q, n,eul, ee, d] = 


[115575051266682630132480239967727278608 
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6180528445277956958783147663504878096994 
3565287164525899384315131063140185642263 
415978464285913933254198607716241327, 


1298798676767627210194987643521609081364 

3650212656148288042839836346078501707535 

9101925639817521670476490060293355850432 
27423883557347382786263908859127407, 


1501087236525180771002493004866838159709 
4004851340369768340978551089436486027532 
091436939485188260549530284680941 7226345 
1743792866949436743579956877554291327026 
1406940237080569250713514671725872905221 
6625811035983987199056681889790739096064 
1333198734726963899437574877054191720015 
42296637496548390519051749089, 


1501087236525180771002493004866838159709 
4004851340369768340978551089436486027532 
0914369394851882605495302846809417226345 
1743792866949436743579956877554291081571 
2217505783569049460670315789858422359671 
9516883178353315886075554607113260020584 
4048122219213336098745879664781125285991 
94453376180507928002476380356, 
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9813500133930340510589283507416410845294 
3749895901597380646757917038437088297628 
6750691247481562218798043522020604206793 
0027309577301817989920074390601252750295 
97717978538621744751019851088747957270570 
6397204573347782748341960817981748425654 
4168364027820949103417230469214535393108 
1901426320355849660556810783, 


179514730448291132293582318630185914587) 


b=ub|= 


1501087236525180771002493004866838159709 
4004851340369768340978551089436486027532 
091436939485188260549530284680941 7226345 
1743792866949436743579956877554291327026 
1406940237080569250713514671725872905221 
6625811035983987199056681889790739096064 
1333198734726963899437574877054191720015 
42296637496548390519051749089 


9813500133930340510589283507416410845294 
3749895901597380646757917038437088297628 
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6750691247481562218798043522020604206793 
0027309577301817989920074390601252750295 
57717978538621744751019851088747957270570 
6397204573347782748341960817981748425654 
4168364027820949103417230469214535393108 
1901426320355849660556810783 


d'=ul6l|= 
179514730448291132293582318630185914587 


c:= cont fraction(n, ee, 100) = 


01,2. 2,15 17 287 1452 3191 20598 23789 
7 727323 26° 439’ 2221 4881 31507 36388” 
44387 112563 944891 2947236 9786599 12733835 
67895 172178 1445319’ 4508135 14969724 19477859" 
2641463299 277197134 8303180185 16883557504 126488082713 269859722930 
404526904° 424004763° 12700665031° 25825334825’ 193478008806’ 412781352437" 
117359457094232776539145775550495740145 
179514730448291132293582318630185914587" 


w := retrouved(n, ee, c, 1023) = 


[[1298798676767627210194987643521609081364 

3650212656148288042839836346078501707535 

9101925639817521670476490060293355850432 
27423883557347382786263908859127407, 
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115575051266682630132480239967727278608 
6180528445277956958783147663504878096994 
3565287164525899384315131063140185642263 
415978464285913933254198607716241327|, 79] 


On vérifie qu’on a bien factorisé n : 
result := (w[1])[1](w[1})[2] — n = 0 
On affiche le nombre d’itérations : 


ti= vf] = 1% 


cr 
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